第20章 附录:太空梭可靠性之我见
在估算太空梭出事故可能性时,各部门给出的数字天差地别:从工程师们的一%,到管理人员的〇. 〇〇一%。如果出事故的可能性是〇. 〇〇一%,这意味着太空梭可以每天起飞降落,连续三百年也不会出故障。我们不禁要问,这过分乐观的估算从何而来?
我们发现NASA的安全标准逐年降低,特别有一个现象:某种危险的技术问题只要在第一次没引起大失败,那么在以后诸次便被认为是无关紧要的。因此,没有严肃深入的研究改进,也没有顾及安全而发出的延迟起飞的要求。
关于固体助推火箭
固体助推火箭的安全性是从以往的火箭事故率推算的。在二千九百次飞行里,一百二十一次出现过失败,机率是四%。其中不少问题经过研究被解决了,这样,上面的数字可以降到二%。再加上特别高要求的选材和监督,一%是个比较合理的估计。
但是NASA的估计要乐观一千倍。他们的说法是,因为太空梭是有人驾驶的飞行器,成功率应该是一百%这是模棱两可的说法他们究竟是说安全性已经达到了一百%,还是应该向一百%的方向努力?在一九八五年二月十五日的JSC报告中,NASA声称,从这几次的成功看,一个全新的观念产生了,即有人驾驶比无人驾驶更安全。我们认为这些讲法没有根据。因为要达到〇. 〇〇一%这样小的数字,这意味着在无数的实验中,每一次都必须是成功。但事实并非如此。 NASA的实验记录显示,许多场合出现过严重问题和失败,因此真实的事故率比〇. 〇〇一%要高得多。
面对这些技术难题,NASA没有去研究解决它们,而是自欺欺人。他们总是引用前几次飞行没有出大事故这一事实,试图证明以前没有发生的灾难今后也不会发生。在密封圈被侵蚀的现象已经被记录在案的情况下,他们非但没有予以注意,反倒做出了一个令人吃惊的论断,因为仅有三分之一的密封圈有损坏现象,所以我们有三倍的安全系数。这完全是违反科学逻辑的。比如,一座桥有三个桥墩,其中一个塌掉了,另外两个没有塌掉,我们是认为这三分之一的失败率意味着桥有三倍的安全系数呢,还是认为桥的设计根本是个失败?正确的答案显然是后者,因为三个桥墩只要有一个塌方,整个桥就完蛋了。密封圈确实只有三分之一的机会出事故,但这应该被解释为三十三.三%的事故可能性,而不是三倍的安全性!
再者,以前密封圈有损坏但没有造成灾难的事实并不意味着问题不致命。前几次的侥幸,是因为各次的损坏都没有达到泄漏的程度;如果某次的损坏碰巧达到了泄漏的地步,那么灾难绝对在劫难逃。由于我们没有研究清楚密封圈材料的物理化学性质,所以它在特定的一次飞行中究竟是否会损坏到泄漏的程度便是一个悬而未决的疑团。事实上,挑战者的失事不就是最好的证明么?
当他们观察到了密封圈的侵蚀而没有弄清楚机理的时候,NASA本没有资格做出乐观无比的承诺说安全要求完全达到了,但他们自欺欺人地这样做了。
关于主引擎
在挑战者号失事的那次飞行中,主引擎没有任何故障。但我问这样的问题:假设我们以同样追根究柢的办法去检查,会不会发现许多暗藏的致命弱点?在固体助推火箭部门存在的毛病,是否在这儿也有?
主引擎比其他组件复杂得多,从设计、施工到运行,总体来讲NASA的工作相当出色。但也有一些重大问题。
一般的引擎设计用的是自下而上的方法。首先,人们仔细研究掌握各组件的性能和局限,在这基础上设计出由它们组成的大一点的组件,反覆试验后再往上走一层。如此逐步地完成全部工程。由于各部分都做自己的试验并尽力优化,所以人们对自己的工作非常熟悉,各种问题得以妥善解决,而且节省经费。
太空梭的主引擎设计却完全反了过来,采取的是自上而下的方法。在各组件被彻底研究测试之前,总设计先行开始。结果,在后来的运行中,各个细部不断地出现问题;而且,一旦出现问题,解决它总要花大笔的经费,因为其他各部都必须做相应的改动。比如,在总体设计和制造完成之后,人们发现高压氧泵的叶片出现了裂纹。究竟是什么引起的?是材料本身不过关?高压氧与表面材料起了反应?急剧的升温降温引起材料不均匀地胀缩?某种频率的共振?从出现裂纹到叶片断裂有多久?所有这些问题都必须解决。可是,用整体引擎来做实验就太昂贵了你不能每做一次实验都毁掉一个引擎啊!
而且,即使问题被发现了,改进的办法也找到了,每一次的变化都可能引起许多组件的重新设计和施工。
太空梭的主引擎要求的技术远远超过了以往任何的飞机和火箭。这项工作确实是在探索全新的方法,试图达到以前从未想像过的技术指标。不幸的是,这么庞大艰辛的工程居然用的是自上而下的方法!结果是,二万七千秒(五十五次起降)无返修的目标没有达到,许多零件要不停地更换,包括主要组件。比如,氧泵叶片必须每起降三次就要更换,离设计目标差得太远。
在起降的记录中,总共有十六次主引擎事故。工程师们对此极其担忧,尽全力用各种办法补救。由于他们的努力,大部分问题被解决了,在这种自上而下的结构中能做到这种程度也真是千难万难。以下是几个简单的例子:
叶片在高压油泵上出现裂纹
叶片在高压氧泵上出现裂纹
点火线开裂
ASI小室侵蚀
等等
尽管如此,事故的可能性还是远远大于NASA所声称的。随著成功次数的增多,NASA的安全检查越来越松懈。挑战者失事虽然并非出于主引擎的故障,但隐患之多却和固体助推火箭部门完全相似。
飞行控制系统
飞行控制系统的电脑网路极其复杂,其中的主程式就有二十五万条指令。这些电脑管着升空降落之类的重要环节,它的硬体和软体都必须每时每刻正常工作。
简单地讲,硬体的安全是由四套一模一样的平行系统保证的。它们收集同样的数据,根据同样的程式加以运算,然后互相对比。正常的情况下,它们的结果应该完全相同。如果某个机器出了问题,它便被当即停止。
控制系统的记忆存储不足以容纳起飞、降落和飞行的全部程式,所以,太空人只好手工操作,在整个飞行中把这些子程式换上换下。
现有的软、硬体都已经老旧,本应该更换。出于经费不足,他们用的还是十五年前的电脑。但它们已经陈旧不堪,再下去连配件都没人生产了。新一代的电脑容量大了许多倍,又安全可靠,优点一目了然。
软体的检查是自下而上的他们从编码查起,再查程式,这样一步一步直到总体软体都被确认。于此同时,另外一个完全独立的小组从相反的方向着手,他们装扮成这些软体的用户,尽可能鸡蛋里挑骨头,测试所有的程式。
只有在正反两个方向的检查都无差错时,软体才算合格。
我的结论是控制系统的检验有着最严格的品质控制。整个部门没有出现那种自欺欺人的态度。但是,最近NASA的管理部门提出要裁减控制系统的测试,理由是它们太贵了。这种建议必须加以抵制,因为它没有注意到裁减必要的测试必将付出沉重的代价。
结论
为了保持太空梭的飞行日程,工程师们常常在未能完成高标准检测的情况下被要求做一些细微的通融。这些小小的放宽要求积累起来,导致了太空梭的安全性大大下降。以我们的估计,事故率在一%左右。
NASA的估计比我们的要乐观千万倍。这可能来源于要在国会和公众面前夸大其词以获取拨款,也可能是由于极其严重的信息交流阻滞,使得NASA的管理阶层与下面的实际状况完全脱节。
以上这些带来了许多不幸,其中之一便是它造成了一种假象,似乎太空梭已经安全到了普通人都可以去的程度。太空人的勇气当然值得我们敬慕,但他们至少是经过特殊训练的人;而麦考利夫则是平民百姓,一个中学教师,为了显示国家对教育的重视被批准加入航太飞行。
在此,我们建议NASA的领导一定要认识客观的现实,认识技术的限制和尚未解决的问题。只有这样,他们才会有清醒的头脑。在比较太空梭和其他航太技术时,他们应该有不夸大事实的态度。在决定起飞的次数时,也应以维修的现实可能为基本考虑。如果现实的情况没有那么一片大好,国会因此不愿拨款支持NASA,那也只能如此! NASA对支持它的公民负有不可推卸的责任,即NASA必须开诚布公,让民众明白真相,然后做出最明智的决定。
一个工程要成功,尊重现实是第一位的,赢得公众好印象是第二位的,因为自然规律是不会作假的。