Проклятие инженера Мерфи: можно ли спастись от глупой ошибки, которая уничтожила «Протон-М»

Комиссия, которая искала причины аварии ракеты-носителя «Протон-М», обнародовала результаты расследования. Как и подозревали специалисты, «Протон» и три спутника ГЛОНАСС, которые он вёз на орбиту, погубила нелепая ошибка, допущенная при сборке системы управления. Однако делать на основе этой информации далекоидущие пессимистичные выводы не стоит: всё не так просто, как кажется.

Неудачный пуск «Протона-М» произошёл 2 июля на Байконуре. На записях видно, что ракета стартовала, но через несколько секунд неуверенно покачнулась сначала в одну сторону, затем в другую, после чего развернулась и направилась к земле, разваливаясь на ходу. Полёт продолжался всего 32,5 секунды и закончился взрывом на расстоянии 2,5 километра от стартовой площадки. Согласно сообщению «Интерфакса», ущерб оценивается в 4,4 миллиарда рублей.

http://www.youtube.com/watch?v=ipNjYMJo79o#t=77s

Заключение комиссии было опубликовано 18 июля на сайте Роскосмоса. Выяснилось, что пуск произошёл на полсекунды раньше, чем было запланировано, но катастрофу вызвало не это. Её причиной стала, как утверждается в заключении, потеря «стабилизации по каналу рыскания из-за нештатного функционирования датчиков угловых скоростей (ДУС) системы управления» ракеты-носителя:

Эксперименты по выяснению причины нештатного функционирования ДУС по каналу рыскания подтвердили возможность их неправильной установки (переворот приборов на 180° при установке) при штатном подключении электроразъёмов.

Датчики угловых скоростей, используемые в системе управления «Протона-М», представляют собой небольшие цилиндры диаметром в 5–6 см и длиной примерно 9 см. Ориентацию устройства определяет пометка, нарисованная на корпусе (на фотографии её не видно).

По сути дела, эти датчики приходятся дальними родственниками тем акселерометрам и гироскопам, с помощью которых смартфоны определяют, какой стороной повёрнуто устройство. Только в данном случае результат — не изменение ориентации изображения на экране, а автоматическая коррекция курса ракеты.

Из-за того что часть датчиков была установлена задом наперёд, информация об отклонении от вертикального курса, которую получала система управления «Протона-М», полностью противоречила реальности.

Остатки взорвавшейся ракеты отправили для изучения производителю «Протона-М». Там нашли новые подробности:

На стыковочных поверхностях трёх из шести приборов имеются характерные следы силового воздействия, аналогичные следам, появившимся после проведения эксперимента по нештатной установке приборов. Расположение оттисков силового воздействия по относительному положению и величине смещения практически полностью совпало с расположением на макете прибора, который использовался при эксперименте.

Иными словами, сборщик не просто перепутал — ему ещё и усилия потребовались, чтобы забить гироскопы туда, куда не следует. Возникающая картина не способствует повышению веры в светлое будущее российского космоса. Действительно, чего ещё ждать, если дошло до того, что рабочие собирают точные приборы при помощи киянки и лома?

В рассуждениях подобного рода есть серьёзный изъян: они строятся на предположении, что настолько позорная, нелепая и дорогостоящая ошибка может быть лишь результатом развала космической промышленности страны. Это не совсем так. Проблемы, вызываемые перевёрнутыми датчиками, много десятилетий преследует конструкторов космических и летательных аппаратов, и далеко не только в России.

Как сделать компьютер, который способен работать десятилетиями без техобслуживания и апгрейда? Это не праздный вопрос. Разработка и поддержка вычислительных машин, которые требуют такой надёжности, — это мир, живущий по своим законам.

Когда несколько недель назад впервые всплыла версия о том, что в гибели «Протона» виноваты датчики, установленные не той стороной, я тут же вспомнил Galileo — поразительно неудачливый зонд, который НАСА отправило к Юпитеру двадцать лет назад. Сначала его запуск год за годом откладывали, затем у него не открылась главная антенна для связи с Землёй, потом единственный накопитель данных «зажевал» магнитную ленту, а когда его удалось восстановить, испортился датчик угла поворота. Подробнее об этом рассказано в заметке «Злоключения Galileo на пути к Юпитеру: как чинили зонд, сломавшийся на другом конце Солнечной системы».

Чтобы изучить состав атмосферы Юпитера, Galileo должен был сбросить на планету спускаемый аппарат. Эта часть научной программы тоже чуть не сорвалась: парашют, замедляющий падение аппарата, почему-то не открывался целую минуту. Изучение телеметрии показало, что акселерометр, который должен был активировать парашют, когда ускорение превысит определённую величину, установили задом наперёд. Хуже того, во время испытаний на Земле эту ошибку проворонили из-за того, что перевёрнутый датчик неверно подключили к измерительному оборудованию, и две ошибки компенсировали друг друга.

В 1991 году при попытке совершить вертикальный взлёт разбился один из первых экземпляров американского военного конвертоплана Bell Boeing V-22 Osprey. Оказалось, что гироскопы в его системе управления были неправильно подключены и давали неверные показания.

Десять лет спустя ещё одна ошибка сборщика едва не закончилась уничтожением результатов работы зонда Genesis, который три года собирал в космосе образцы солнечного ветра. Предполагалось, что зонд сбросит контейнер с образцами на Землю. Пара открывающихся по очереди парашютов притормозит падение контейнера, а затем вертолёт поймает его в воздухе при помощи большого крюка.

Парашют не раскрылся, и контейнер врезался в землю со скоростью 86 метров в секунду, растеряв при этом изрядную долю образцов. Причина всё та же — акселерометры, установленные не той стороной. Ошибку не заметили, потому что в компании Lockheed Martin, строившей Genesis для НАСА, решили сэкономить на тестировании.

У Boeing и Lockheed Martin не было финансовых проблем. Ни о каком развале и речи шло. Однако подобные ошибки случаются с пугающей регулярностью даже тогда, когда ресурсов хватает и жаловаться не на что. Собственно говоря, именно об этом и предупреждает закон Мерфи: «Всё, что может пойти не так, непременно пойдёт не так».

Мало кто помнит, что эта фраза впервые была сказана именно по поводу акселерометра, установленного не той стороной.

В 1949 году американские военно-воздушные силы пытались определить максимальные перегрузки, выдерживаемые человеком. Инженер Эдвард Мерфи разработал для этих экспериментов специальное снаряжение со встроенными датчиками, точно измеряющими ускорение в различных частях тела.

Доброволец, обвешанный датчиками, разогнался на специальной тележке до 320 км/ч, а затем резко затормозил. Перегрузка составила примерно 40 g, но стрелки на приборах Мерфи даже не шелохнулись. Оказалось, что все датчики без исключения были подключены не той стороной. Тут-то Мерфи и сформулировал свой бессмертный закон (очевидцы утверждают, что в оригинале он был длиннее и в нём упоминался техник, который всё перепутал, но в деталях их показания расходятся).

От таких ошибок не застрахован никто. Можно придумать защиту от дурака, но она не поможет, если у дурака есть кувалда. Можно строго контролировать качество, но это будет работать лишь до тех пор, пока контролёр сам не ошибётся. Можно попытаться увеличить запас надёжности до такой степени, чтобы ошибки не приводили к катастрофе, но риск никогда не станет нулевым.

Реалистичный выход — понять, что успех никогда не будет стопроцентным. В телекоме и ИТ-бизнесе провайдеры сервисов заранее оговаривают, сколько «девяток» надёжности они готовы обеспечить. От этого зависит, часто ли будут случаться простои. Пять «девяток» (сервис доступен 99,999% времени) обходятся намного дешевле шести (99,9999%), и прибавление каждого следующего разряда требует титанических затрат и усилий.

В этих терминах надёжность «Протона-М» — только одна «девятка». По меркам телекома это маловато, но гигантские бочки с горящим гептилом, разогнанные до нескольких километров в секунду, вообще плохо вписываются в мерки телекома. По меркам ракетной техники 89% успешных пусков — это относительно неплохо.

Провалы не становятся более частыми, несмотря на то что эту ракету-носитель используют всё активнее.

То же самое можно сказать и о других пусках. Вопреки впечатлению, которое может сложиться, если следить за новостями, явной тенденции к увеличению количества неудачных пусков не прослеживается. Максимальное число провалов приходится на 2011 год, но в тот год и пусков было больше, чем когда-либо: 35. Для сравнения, у США в 2011 году было всего 18 пусков.

Следует ли из этого, что с космосом в России всё прекрасно? Разумеется, нет. Но отдельные неудачи, о которых мы время от времени узнаём, не дают достаточной почвы для того, чтобы рассуждать о проблемах в этой области. Сами по себе провалы — это совершенно нормально. Даже такие нелепые, как тот, который случился на Байконуре 2 июля.

Что будем искать? Например,ChatGPT

Мы в социальных сетях