«Челленджер» и проблема чрезмерной сложности

Говорят, первый вдох определяет жизнь человека: родился на севере — всегда будешь чувствовать себя здесь лучше родившихся в тёплом климате. Не поручусь за медицинскую точность, но у этого правила несомненно есть и иносказательный смысл: увиденное, пережитое в детстве «программирует» тебя до гробовой доски. Уверен, каждый, если копнёт, отыщет личный пример такой предвзятости. А я готов подписаться, потому что вопреки воле и желанию детские воспоминания сформировали мой пессимизм по отношению к «светлому космическому будущему» — которое с возрождённым энтузиазмом мы взялись строить в последние годы.

Вероятно, родись я на десять лет раньше, попади моё детство на человека на Луне, «Союз-Аполлон», штурм планет автоматическими станциями, всё сложилось бы иначе. Но моим первым космическим впечатлением стала гибель «Челленджера». Я и сегодня, ровно тридцать лет спустя, помню тот ролик в деталях — увиденный первоклашкой на чёрно-белом, кажется, «Рекорде»: старт, надежду, вспышку и дымный факел, непонимание на лицах, сменяющееся ужасом…

Та катастрофа не стала последней космической трагедией, которую я наблюдал, но заместить оставленное ею впечатление ничто уже не в состоянии: это был тот самый первый вдох. И вот, интуитивно, я с тех пор ищу и подшиваю к воображаемому досье улики, доказывающие одно: будущее, каким его рисовали фантасты и с упоением рисуют теперь предприниматели новой волны, двинувшиеся на орбиту и далее, никогда не наступит. Космос останется местом непредсказуемых рисков, безумных трат, изматывающего труда. Полёт в космос никогда не будет похожим на поездку на автомобиле или полёт на самолёте. И Space Shuttle Challenger идёт в моём «досье» первым пунктом.

Space Shuttle Challenger, 28 января 1986 года.
Space Shuttle Challenger, 28 января 1986 года.

Сегодня достоверно известно, что послужило причиной взрыва. Технически это были резиновые кольца, разделявшие секции в ракете-ускорителе: из-за перепадов температур их механические свойства ухудшились, соединение перестало быть плотным, прорвались горячие газы… Но был и человеческий фактор: инженер, работавший в компании, собиравшей ускорители для «Шаттлов», знал о проблеме и многие месяцы пытался достучаться до руководства (своего и NASA), предупреждая о вероятных катастрофических последствиях. Предотвратить трагедию не удалось, но не потому что его не услышали. Его письмо рассмотрели, но решили не давать ход: на NASA «давили», на производителя «давили», задержка была никому не нужна.

Что позволяет сделать два фундаментальных вывода. Во-первых, даже тщательно контролируемая космическая техника слишком сложна, чтобы все дефекты или узкие места в ней можно было гарантированно быстро выявить на этапе эксплуатации (не говоря уже о проектировании). К моменту, когда Роджер Бойсджоли сообщил начальству Morton Thiokol о кольцах, «Шаттлы» летали уже пять лет. Представить же о какой сложности идёт речь позволяют такие цифры: в комплексе Space Shuttle в целом около 2,5 миллионов деталей и почти 400 километров проводов.

Как вообще можно гарантировать слаженную работу такого монстра? В NASA на тот момент опирались на разумный дизайн (такой, который должен сам по себе минимизировать вероятность отказа) и вероятностную оценку (теоретическую оценку рисков каждого элемента в отдельности и комплекса в целом). Ни тот ни другой метод не дают стопроцентной гарантии, а вероятностный так и вообще часто показывает огромный, на несколько порядков, разброс оценочных значений, к чему особенно менеджеры непривычны.

Space Shuttle Columbia, 1 февраля 2003 года.
Space Shuttle Columbia, 1 февраля 2003 года.

Менеджеры плохи ещё и тем (и это вывод номер два), что даже в самых зарегулированных и наблюдаемых компаниях и организациях способны отыскать лазейки, позволяющие «оптимизировать» решение задачи. В случае с «Челленджером» они ради выполнения плана проигнорировали конкретное сообщение о дефекте. Можно ли ждать иного от небольших частных компаний, строящих суборбитальные челноки, планирующих орбитальные гостиницы, засматривающихся на межпланетную экспансию?

И вместе с тем винить во всём только менеджеров смысла нет. Их поведение — во многом производное от уже озвученной Проблемы Номер Один: сложности. Современная техника стала чрезмерно сложной и мы вынуждены мириться с её непредсказуемостью. Оглянитесь! Примеров масса и вовсе не только в космической отрасли. Вспомните дата-центры, спроектированные таким образом, чтобы гарантировать максимальный аптайм и всё равно периодически «зависающие», причём по причинам неустановленным («Даунтайм в десятую процента»). Вспомните, что микропроцессоры, работающие в серверах и десктопах, содержат десятки ошибок, выявленных уже после запуска производства — и наверняка ещё десятки, о которых пока неизвестно («Ошибки в процессорах Skylake»).

Вспомните, что управляющий массовыми веб-сервисами софт уже близок по степени сложности к осмысливаемой границе: ещё чуть-чуть и мы будем не в состоянии понять, как работает построенная нами машина («Слишком сложные»)! Что далеко ходить, возьмите победу над человеком в игре го гугловского искусственного интеллекта (достижение, рассматриваемое специалистами по глубокому обучению как закономерное, ожидаемое). Конструкторы способны понять работу своей машины лишь приближённо, потому что играть её научил человек, а вот выигрывать она училась сама.

SpaceShipTwo VSS Enterprise, 31 октября 2014 года.
SpaceShipTwo VSS Enterprise, 31 октября 2014 года.

Ситуация такова, что на земле чрезмерная сложность терпима. На найденную в процессоре ошибку можно разослать патч. Зависшую систему перезагрузить, продублировать. Сломавшийся компонент — обнаружить и заменить. Искусственному интеллекту — до некоторой степени довериться. Техника знает примеры массовых систем, сопоставимых по сложности с тем же «Шаттлом» и всё-таки обеспечивающих очень высокую надёжность. Число деталей в современных авиалайнерах (Aribus A380, Boeing 787), например, даже превосходит цифру для космического челнока, однако именно авиалайнеры уносят меньше всего жизней на километр пути.

Увы, в случае с космосом возможности диагностики и ремонта крайне ограничены. И это в равной степени относится как к государственным космическим агентствам, так и к мелким игрокам, которые, как считается, открыли новую эру, эру «простого и дешёвого космоса» — вроде SpaceX, Blue Origin, Virgin Galactic и прочих (Брэнсон, кстати, устал бороться со сложностью и уже переключился с перевозки людей на искусственные спутники). Это означает, что аварии и катастрофы ещё будут, но прежде всего — что космические рейсы в обозримом будущем не приблизятся по степени комфорта, безопасности и цене к земным.

Как бы нам того ни хотелось.

Что будем искать? Например,ChatGPT

Мы в социальных сетях