Dziś ciekawostka z okolic The Space Review. NASA zastanawia się nad zmienieniem sposobu szacowania szansy „LOC” (Loss of Crew = utrata załogi) w komercyjnych lotach załogowych. Mam przypuszczenia że jest to związane z pomysłami SpaceX. O co chodzi w tej zmianie? NASA będzie bardziej zainteresowana wariancją tego parametru niż tylko wartością oczekiwaną. A mówiąc dokładniej to całym rozkładem tejże wartości. Przykład podany w artykule – NASA może preferować pojazd który ma szanse utraty załogi jak 1:75, ale o niewielkiej wariancji nad pojazdem z szansami jak 1:100 ale dużo większą wariancją.
Przykładem rozwiązania które z jednej strony podnosi bezpieczeństwo, ale z drugiej zwiększa wariancję jest redundancja systemów. Gdy mamy jeden, krytyczny system to zwykle dość dobrze znamy szanse na jego awarię. Dokładając drugi, z jednej strony zmniejszamy szansę na to że oba jednocześnie wysiądą, ale z drugiej stwarzamy dodatkową niepewność – systemy mogą wpaść w nieoczekiwaną interakcję ze sobą, awaria jednego może spowodować zachowanie drugiego które zamiast zmniejszyć ryzyko je zwiększy itp.
Drugi punkt który bezpośrednio nie wynika z artykułu, ale można się go spokojnie domyślić jest zasada KISS (keep it stupid simple) – lepsze są proste rozwiązania, jako że im mniej elementów, tym mniejsza niepewność i łatwiejsze oszacowanie rozkładu awarii. NASA preferuje także sprawdzone rozwiązania, jako że doświadczenia z używania tychże pozwalają na nie tylko lepsze zdefiniowanie niezawodności ale także na wykrycie nowych sposobów awarii jakie umknęły wyobraźni ludzi.
Pod koniec lotów promów kosmicznych szacowana LOC była jak 1:90. Na samym początku szacowano ją optymistycznie jako 1:500 – 1:5000. Jak widać ludzie dokonujący tych obliczeń mieli bardzo ograniczoną wyobraźnię jako że doświadczenia z eksploatacji promów pokazały że szansa jest bliższa 1:12. Wymóg NASA dla komercyjnych kapsuł to 1:275.
Mam przypuszczenie że cały ten artykuł związany jest z SpaceX i ich rozwiązaniem. Wprowadza ono bardzo wiele skomplikowanych systemów, które mają duży rozrzut niepewności awarii. Zacznijmy od samej kapsuły i silników SuperDraco. Są one w czterech grupach po dwa. Kapsuła teoretycznie jest w stanie przeżyć awarię jednego z nich i nadal zdążyć uciec od eksplodującej rakiety. Jednak czas takiej ucieczki będzie kilkukrotnie większy i szansa że jakieś odłamki rakiety trafią w kapsułę będzie znacząco większa. Nie bez powodu Orion ma jeden silnik systemu awaryjnego i jest on na paliwo stałe – takie rozwiązanie ma znacznie mniejszy rozkład niepewności. W przypadku Dragona istnieje możliwość że eksplodująca komora spalania SupeDraco uszkodzi drugi silnik w parze i spowoduje niemożność ucieczki kapsuły. Uszkodzenie może nie tylko polegać na fizycznym zrobieniu dziury ale np. na silnym wstrząsie który komputer sterujący uzna za niestabilność spalania i wyłączy silnik dla zabezpieczenia go przed eksplozją. Zresztą przechowywanie sporych ilości hydrazyny i tetratlenku diazotu pod dnem kapsuły jest samo w sobie niebezpieczne. To samo można powiedzieć o super-schłodzonym tlenie i tankowaniu z astronautami na pokładzie. Super-schłodzony tlen już pokazał że potrafi zaskoczyć projektantów rakiety w połączeniu z butlami COPV które mają zmarszczki. Niepewność związana z tymi nowymi rozwiązaniami jest spora.
Boeing ma podobny dylemat z swoim systemem awaryjnym – używa on czterech silników także na hydrazynę. I podobnie jak w przypadku SpaceX, awaria jednego silnika nadal umożliwia ucieczkę kapsuły, choć wymaga to znacząco więcej czasu. Jednak zbiorniki hydrazyny w CST-100 znajdują się w bagażniku – daleko od kapsuły. Jest to zarówno zaletą jak i wadą – będąc bliżej miejsca eksplozji istnieje większa szansa że silnik i/lub zbiornik systemu awaryjnego CST-100 zostanie uszkodzony zanim kapsuła ucieknie na bezpieczną odległość. W przypadku Dragona bagażnik stanowi dodatkową osłonę kapsuły. Boeing dla zmniejszenia ryzyka użył zmodyfikowanej awioniki z X-37B w swojej kapsule. SpaceX zaś użyje zmodyfikowanych systemów od obecnego Dragona, które mają za sobą więcej udanych lotów niż X-37B. Największą zaletą Boeinga jest użycie rakiety która ma za sobą kilkadziesiąt lotów bez eksplozji. SpaceX nie ma szans na osiągnięcie takiego wyniku przed rozpoczęciem lotów komercyjnych.
Spełnienie warunku NASA na 1:275 szanse utraty załogi będzie bardzo trudne do osiągnięcia dla obu firm, ale dla SpaceX szczególnie. Może się więc okazać że pomiędzy bezzałogowym lotem testowym a załogowym upłynie więcej niż kilka miesięcy – to w sytuacji gdy w czasie tego pierwszego pojawią się informacje o sposobach awarii których nie przewidzieli inżynierowie lub awarie nastąpią wcześniej niż tego oczekiwano – dane z takiego lotu mogą spowodować obniżenie szacowanej szansy utraty załogi poniżej wymaganego minimum i konieczność zmian konstrukcyjnych. Jak na razie wiadomo że spełnienie tego wymogu jest najtrudniejszym problemem z jakim borykają się obie firmy.
