Основной двигатель космического челнока — совершенно уникальная машина. У него отношение осевой нагрузки к весу гораздо выше, чем у предыдущего двигателя. Он построен на пике инженерного опыта, даже не на основании предыдущих разработок. Поэтому-то в нем и обнаружились разнообразные дефекты и трудности. К сожалению, он был построен способом нисходящего проектирования, при котором трудно обнаруживать и фиксировать недостатки. Замысел проектирования, рассчитанный на сгорание после 55 эквивалентных полетов (27 000 секунд работы в каждом полете или 500 секунд на испытательном стенде), не был достигнут. Двигатель сейчас очень часто требует ремонта и замены важнейших деталей, таких как турбонасосы, опоры, корпус с металлической обшивкой и так далее. Топливный турбонасос высокого давления следует менять каждые три-четыре полета (хотя сейчас их можно чинить), а кислородный турбонасос высокого давления — каждые пять-шесть полетов. Это при спецификации с исходными допусками более чем десять процентов.
Далее основное внимание будет сконцентрировано на определении надежности.
За время полного рабочего ресурса, составляющего около 250 000 секунд, двигатели отказывают примерно 16 раз. Инженерный состав очень внимательно изучает эти поломки и старается их устранить как можно быстрее. Изучаются результаты тестов на специальных установках, экспериментально спроектированных для поиска дефектов, двигатель тщательно обследуется на предмет раскрытия предполагаемых недостатков (например, дефектов), которые тщательно анализируются и устраняются. Таким образом, несмотря на сложности нисходящего проектирования, путем упорного труда многие проблемы удалось полностью устранить.
Здесь приведен список некоторых проблем. Звездочкой отмечены предположительно решенные проблемы:
1. Трещины турбинных лопастей в топливных турбонасосах высокого давления (ТТНВД). (Возможно, проблема решена.)
2. Трещины в кислородных турбонасосах высокого давления (КТНВД).
3. Разрыв линии форсажного искрового воспламенителя.*
4. Поломка проверочного очистного клапана.*
5. Эрозия камеры форсажного искрового воспламенителя.*
6. Растрескивание металлических листов топливных турбонасосов высокого давления.*
7. Поломка смазочно-охлаждающей прокладки топливных турбонасосов высокого давления.*
8. Поломка колена выпуска основной камеры сгорания.*
9. Поломка колена впуска основной камеры. Сдвиг сварного колена впуска основной камеры сгорания.*
10. Квазисинхронное вихревое движение в кислородном турбонасосе высокого давления.*
11. Защитная система отключения ускорения в полете (частичный отказ в резервной системе).*
12. Растрескивание опор (частично решена).
13. Вибрация, составляющая 4000 Герц, приводящая некоторые двигатели в нерабочее состояние.
Многие из этих решенных проблем на начальном этапе проектирования оказались очень сложными, 13 из них происходят в первые 12 500 секунд, и только 3 — в следующие 12 500 секунд. Естественно, никогда нельзя быть уверенным, что все ошибки устранены. Поэтому бессмысленно гадать, случился ли сюрприз в следующие 25 000 секунд с вероятностью 1/500 на один двигатель в одном полете. В полете задействованы три двигателя, но на некоторые несчастные случаи может повлиять и один двигатель. Система может аварийно прекратить работу и при двух двигателях. Давайте предположим, что неизвестных сюрпризов не существует, тогда вероятность нарушения полета из-за основного двигателя челнока менее 1/500. К этому следует добавить вероятность крушения от известных, но пока не решенных проблем (без звездочки в приведенном выше списке). Их мы обсудим ниже. (Инженеры и производители из «Рокет дайн» оценили полную вероятность как 1/1000. Инженеры в Маршалл — как 1/300, в то время как руководство НАСА, которому эти инженеры сообщают свои соображения, называет цифру 1/10000. Независимый инженер, консультирующий НАСА, оценивает эту цифру с 1–2-процентной вероятностью.)
История принципов сертификации для этих двигателей весьма запутанна и труднообъяснима. Первоначально правило для двух работающих машин гласило, что каждая должна работать без сбоев за сертификационное время работы («правило двух»). По крайней мере это правило исходит из Федерального авиационного агентства, и НАСА усвоила его, предлагая исходное сертификационное время, равное 10 полетам (то есть 20 полетов для каждой машины). Очевидно, что самыми лучшими используемыми двигателями окажутся при сравнении те, у которых наибольшее время работы (полет плюс испытания) — так называемые эксплуатационные лидеры. Но что, если третий образец и несколько других разрушатся за короткое время? Безусловно, мы не можем находиться в безопасности только благодаря двум необычно долго прожившим двигателям. Короткое время больше отвечает реальным возможностям, и, несмотря на фактор безопасности 2, мы должны работать только половину времени короткоживущих образцов.
Медленный крен к снижению фактора безопасности доказывается многими примерами. Возьмем лопасти топливной турбины. От первой идеи тестирования всего двигателя отказались. Каждый номер двигателя содержит много важных деталей (такие, как все турбонасосы), заменяемые через повторяющийся интервал, так что правило должно меняться от двигателей к их компонентам. Мы принимаем топливный насос за сертификационное время, если два образца по отдельности дважды проработали успешно за это время (и конечно, на практике никто не настаивает, чтобы это время соответствовало 10 полетам). Но что значит «успешно»? Федеральное авиационное агентство называет трещину турбинной лопасти поломкой, что на практике обеспечивает фактор безопасности больше 2. Проходит некоторый период, пока двигатель работает между временем начала образования трещины и временем, пока она не станет достаточно большой для полного разрыва. (Федеральное авиационное агентство размышляет над новыми правилами, которые учитывают это дополнительное время, но только при условии, что его тщательно проанализируют с помощью известных моделей в рамках известных экспериментов и с полностью протестированными материалами. Ни одно из этих условий не годится для основного двигателя космического челнока.)
Трещины обнаруживаются в турбинных лопастях через много секунд. В одном случае были обнаружены три трещины через 1900 секунд, а в другом случае не обнаружили ни одной через 4200 секунд, хотя при более длительной работе вероятность возникновения трещин выше. Чтобы проследить за ситуацией, представим, что напряжение зависит от уровня мощности. Полет «Челленджера», как и предыдущий полет, происходил на уровне 104 % от проектной мощности — двигатели большую часть времени работали на этой мощности. На основании некоторых данных о материалах можно предположить, что при уровне в 104 % от проектного уровня время образования трещины окажется вдвое больше, чем при 109 % или полном уровне мощности. Будущие полеты должны проходить на этом уровне из-за более высоких грузоподъемностей, и многие тесты выполняются на этом же уровне. Поэтому, разделив время при уровне мощности 104 % на 2, мы получим единицы, эквивалентные полному уровню мощности. (Очевидно, тут вводится некоторая неопределенность, но мы не приняли ее во внимание.) Самые ранние трещины, упомянутые выше, появлялись при цифре 1,375 от полного уровня мощности.
Теперь правило сертификации выглядит так: «предел работы лопастей стремится к максимуму, равному 1375 секунд, при эквивалентном полном уровне мощности».
Если кто-то возразит, что здесь потерян фактор безопасности 2, можно указать, что одна турбина работала без трещин в течение 3800 секунд, эквивалентных полному уровню мощности, а половина от этого — 1900 секунд; здесь мы предусмотрительно консервативны. Мы одурачили себя в трех случаях. Во-первых, у нас был только один образец, и это не эксплуатационный лидер, два других образца работали 3800 или более секунд, имели 17 растрескавшихся лопастей. (В двигателе 59 лопастей.) Кроме того, мы отказались от «правила двух» и заменили равное время. И наконец, мы утверждали, что через 1375 секунд видели трещину. Можно сказать, что не было обнаружено трещины спустя меньшее время, но в последний раз мы не видели трещины при 1100 секундах. Мы не знаем, когда образовалась трещина в этом промежутке; например, трещина могла образоваться при 1150 секундах. (Приблизительно 2/3 от набора тестируемых лопастей имели трещины по истечении 1375 секунд. Ряд последних экспериментов действительно показал, что самые ранние трещины соответствуют 1150 секундам.) Важно сохранять при расчетах высокие числа, так как двигатели «Челленджера» во время окончания полета работают в режиме, близком к предельному.
Однако было заявлено, что критерии не были нарушены и система находилась в безопасности — вопреки требованиям Федерального авиационного агентства, гласящим, что трещин быть не должно. При этом принимались во внимание только полностью вышедшие из строя изломанные лопасти. Идея НАСА была простой: так как для роста и разрыва трещины необходимо довольно много времени, можно гарантировать, что безопасность обеспечивается благодаря предварительному обследованию трещин во всех лопастях. Если трещины обнаружатся, мы заменим такие лопасти, а если нет — у нас в запасе остается достаточно времени для полета. Такой подход переводит проблему трещин из разряда влияющих на безопасность полета просто в проблему технического обслуживания.