На минувшей неделе Национальный совет по безопасности на транспорте (NTSB) опубликовал материалы слушаний по катастрофе SpaceShipTwo. Напомню, 31 октября 2014 года во время испытательного полета корабль разрушился в воздухе, один из двух летчиков-испытателей погиб, а второй получил тяжелые травмы. Команда специалистов NTSB прибыла на место катастрофы в течение суток, и уже 2 и 3 ноября на пресс-конференциях была названа непосредственная причина катастрофы — преждевременный поворот хвостового оперения в тормозное положение. На пресс-конференции специально подчеркивалось, что расследование катастрофы будет заключаться в установлении причины этого события, и займет это примерно год. Результаты расследования появились всего через 9 месяцев. Новостные агентства написали короткие заметки о том, что виноват второй пилот, преждевременно снявший блокировку системы торможения. Но в материалах почти двухчасовых слушаний NTSB вырисовывается более сложная картина.
Материалы слушаний выложены в открытый доступ, и их можно посмотреть здесь.
Матчасть
Прежде, чем говорить о причинах катастрофы, нужно понять, как работает система торможения SpaceShipTwo. В нормальном полете она является критическим компонентом, обеспечивающим торможение аппарата:
Полет SpaceShipTwo состоит из следующих этапов:
- Сброс с корабля-носителя WhiteKnightTwo на высоте ~15 км и скорости ~0,5 М.
- Разгон с набором высоты на ракетном двигателе.
- Подъем по инерции до высоты 110 км.
- Поворот хвостового оперения в режим торможения.
- Торможение в плотных слоях атмосферы.
- Поворот хвостового оперения в самолетный режим.
- Планирующий полет и посадка на аэродроме вылета.
Уникальность системы торможения заключается в том, что поворотом балок хвостового оперения аппарат переводится в аэродинамически устойчивую конфигурацию и тормозит, сохраняя правильное положение, как бадминтонный волан.
Система была успешно испытана в полете:
Технически, система торможения управляется четырьмя рукоятками:
Две нижние рукоятки управляют левым и правым замками системы торможения, для того, чтобы снять блокировку, нужно их потянуть вниз. Две верхние рукоятки управляют левым и правым исполнительными механизмами (актюаторами) системы торможения, для того, чтобы включить систему торможения, их надо потянуть на себя. Все рукоятки механически защищены от самопроизвольного движения при вибрации аппарата.
Полет снимался несколькими камерами. На слушаниях показаны данные с трех камер: наземной, на самолете-носителе и на хвостовой балке SpaceShipTwo:
На видео отчетливо видно, что хвостовые балки начинают поворачиваться, хотя данные из кабины говорят, что ни пилот, ни второй пилот не активировали систему торможения. В то же время, известно, что замки системы торможения были разблокированы вторым пилотом (погибший Майк Олсбери) после доклада о достижении скорости 0,8 М. Согласно карте полета замки системы торможения нужно было разблокировать после достижения скорости 1,4 М. Из-за того, что замки системы торможения были открыты на трансзвуковой скорости полета, на аппарат стали воздействовать нерасчетные аэродинамические силы, которые оказались сильнее приводов системы торможения и развернули аппарат в режим торможения, что привело к его разрушению:
При разрушении аппарата пилота (Петер Сиболд) вместе с креслом выбросило из кабины, он смог отстегнуть ремни кресла, и его парашют раскрылся автоматически.
Тело второго пилота (Майк Олсбери) было обнаружено в обломках кабины. На слушаниях ничего не было сказано о времени и причине смерти.
План полета, подготовка и другие человеческие аспекты
В этом полете распределение обязанностей между пилотом и вторым пилотом было следующим:
После сброса с самолета-носителя пилот управлял аппаратом и отдавал команду на зажигание ракетного двигателя. Второй пилот производил операции по включению двигателя. По достижении скорости 0,8 М второй пилот объявлял вслух «0,8 М!», чтобы пилот был готов к тряске трансзвукового участка полета. При приближении к скорости звука меняется обтекание аппарата воздухом, и практически любой самолет или ракету начинает трясти. Пилот, кроме непосредственного управления аппаратом, начинал управлять триммером стабилизаторов, а задачей второго пилота было громко сообщать о положении стабилизатора. Типичным был бы непрерывный доклад, например, «Пять градусов! Семь градусов! Девять градусов!». По достижении скорости 1,4 М второй пилот должен был разблокировать замки системы торможения.
В реальности спустя примерно две секунды после объявления «0,8 М», на скорости примерно 0,82 М второй пилот произнес «Разблокирую!» и разблокировал замки системы торможения. Оба пилота успели отметить увеличение тангажа (аппарат начал задирать вверх нос).
Оба пилота проходили специальную предполетную подготовку, которая включала в себя работу на симуляторе SpaceShipTwo, планирующие полеты на WhiteKnightTwo, который в определенной конфигурации имитировал аэродинамику SpaceShipTwo на участке планирующего снижения и посадки, а также тренировки на спортивном самолете для отработки навыков работы в невесомости и вывода самолета из опасных режимов полета. В то же время, тренировки на симуляторе производились не в полетных костюмах (шлем, кислородная маска, высотный костюм), а в обычной одежде, и на симуляторе не имитировались перегрузки и тряска реального полета.
Неизвестной до слушаний особенностью являлось то, что замки системы торможения должны были быть разблокированы до скорости 1,8 М. Если этого не удавалось сделать, то дальнейший разгон необходимо было отменить, потому что в случае отказа замков системы торможения SpaceShipTwo не мог нормально затормозить. В результате на пилотов действовали следующие стрессовые факторы:
- Полетная карта не использовалась в бумаге, операции выполнялись по памяти.
- Операции нужно было выполнить в весьма сжатый срок, по данным полетов в симуляторе примерно 26 секунд.
- Полеты с включением двигателей выполнялись давно, пилоты могли отвыкнуть от тряски и перегрузок.
- Тренировки на симуляторе проводились в обычной одежде, отсутствие привычки к полетному костюму могло дополнительно усилить стресс.
- В документации была прямо указана опасность поздней разблокировки системы торможения, а вот опасность слишком ранней разблокировки, хоть и считалась общеизвестной, в документации прямо указана не была. В результате пилоты могли стремиться разблокировать замки системы торможения как можно раньше, чтобы не вызвать отмену дальнейшего разгона.
При разработке аппарата конструкторы не установили никаких систем информирования о достижении безопасной скорости для разблокировки или защиты от преждевременной разблокировки системы торможения, полностью положившись на квалификацию пилотов. Несмотря на то, что при разработке SpaceShipTwo использовались технологии предупреждения возможных аварий, они оказались недостаточными. Регулирующие органы (FAA/AST) оказались неспособны дать адекватную оценку безопасности аппарата из-за новизны отрасли частных суборбитальных полетов, к тому же, при рассмотрении заявки на них было оказано давление, чтобы заявка была рассмотрена в 120-дневный срок, а решение было положительным. Взаимодействие инспекторов по безопасности и фирмы-разработчика (Scaled Composites) было недостаточно полным, быстрым и качественным. Также, инспекторы по безопасности назначались на полет, но не на разработчика, и не были знакомы с особенностями корабля и проводимых полетов.
Выводы
NTSB сформулировало десять рекомендаций по повышению безопасности. Конструкторы SpaceShipTwo сообщают, что уже разработали механизм, защищающий от преждевременной разблокировки системы торможения.
Формально, эта катастрофа стала первой космической катастрофой, произошедшей по вине экипажа. Но виноваты не только пилоты. Конструкторы, которые «сложили все яйца в одну корзину» и не установили никаких систем предупреждения или блокировки замков системы торможения от раскрытия в неподходящее время, тоже несут ответственность за эту катастрофу. Люди всегда ошибались, ошибаются и будут ошибаться. В ситуации, когда и слишком ранняя, и слишком поздняя разблокировка системы торможения одинаково смертельно опасна, инженеры, фактически, поспособствовали ошибке, напоминая об опасности слишком поздней разблокировки, но ничего не указав в документации или на приборной доске об опасности слишком ранней разблокировки. Практически закономерно, что люди ошиблись всего после восьми полетов.
Тот факт, что конкретно эта причина катастрофы больше не повторится не вселяет в меня оптимизм и уверенность в дальнейшем успехе суборбитального космического туризма от Virgin Galactic. Если бы аппарат проектировался с учетом опасностей скоростных, высотных и космических полетов, то эта авария не стала бы катастрофой. Катапульты или спасаемая капсула экипажа не допустили бы гибели людей даже в случае разрушения аппарата. Но этого нет, и не планируется — SpaceShipTwo спроектирован в идеологии гражданских самолетов, а не космических аппаратов. Инженерно красивая концепция системы торможения является критически важным для безопасности полета компонентом. Но как инженеры обеспечивают ее надежность? Дублированы ли ее исполнительные механизмы? В истории авиации были самолеты с изменяемой стреловидностью крыла — Су-24, МиГ-23, F-111. Но в случае отказа привода поворота крыла у экипажа были катапульты. Какие системы спасения будут для пассажиров SpaceShipTwo, если откажут актюатор или замок системы торможения? Люк в кабине и парашюты, как во Вторую мировую войну? Все пассажиры должны будут проходить обязательную парашютную подготовку, прежде, чем подняться на борт. Но в случае такого отказа аппарат начнет вращаться, и перегрузка не позволит людям даже встать с кресла, сделав эту подготовку совершенно бесполезной. Понятно противоречие — на меры безопасности требуются деньги, и количество туристов, которые могут оплатить полет, станет еще меньше. Но в противном случае SpaceShipTwo может повторить судьбу Спейс Шаттла — сказочно красивого корабля, в котором погибло много людей, а сама концепция дешевого грузовика на орбиту оказалась провалом.
При подготовке публикации кроме видеозаписи слушаний использовались материалы:
Другие материалы по космическим авариям и катастрофам по тегу «космические происшествия».
Комментарии (38)
aikixd
03.08.2015 14:27>> только ли погибший пилот виноват?
Пилот это тот кто был решающим фактором. Когда NTSB делает расследование, они находят непосредственную причину (крайнего), а потом рассматривают как и почему это могло случиться, затем по выводам представляют рекомендации для всех замешаных. В терминологии NTSB, виноватый это не то же, что в повседневной речи. Виноватым может быть второй пилот, но под суд пойдут оба пилота, погрузчик, техник, инженер и замдиректора авиакомпании.
encyclopedist
03.08.2015 17:51+8Тоже не совсем верно. Эти комиссии не устанавливают вину, совсем. Вина — это дело прокуроров и суда. Комиссии устанавливают:
— Причину, непосредственно приведшую к происшествию (в данном случае, действие второго пилота)
— Причины, способствовавшие возникновению и развитию ситуациии (недостатки в конструкции, тренировки, и т.д.)
Целью расследования и отчёта является не наказание виновных, а предостващение подобных происшествий в будущем.
barkalov
03.08.2015 15:03+4Я всегда думал, что подобные блокировки работают на уровне логики контроллера, а не на физическом уровне.
Ламерский вопрос: зачем вообще нужен режим, когда снята механическая блокировка, но не включен актуатор?
dom1n1k
03.08.2015 15:30+2Очевидно, что разблокировка требует какого-то времени, поэтому её снимают заранее, чтобы потом иметь возможность тормозить в любой нужный момент.
Gothician
03.08.2015 15:37+1> Ламерский вопрос: зачем вообще нужен режим, когда снята механическая блокировка, но не включен актуатор?
Трудно сказать, не будучи разработчиком аппарата. Вообще, в технике такого уровня узлы делаются или максимально надежными — так, что не могут выйти из строя в принципе, или делается резервирование.
lozga
03.08.2015 19:59+2Я не видел чертежей, но думаю, что механический замок стоит для обеспечения прочности и надежности.
От взлета до 1,4 М — самолетный режим, замки фиксируют хвостовые балки, выдерживая большие нагрузки
1,4 М — до участка торможения — самолетный режим, замки разомкнуты, хвостовые балки удерживаются актюаторами в готовности к торможению.
Торможение — актюаторы поворачивают балки в режим торможения
После торможения и до посадки — актюаторы разворачивают хвостовые балки в самолетный режим, и они фиксируются замками. Конструкция опять может выдержать большие нагрузки и отказ актюатора не ведет к катастрофе.
ProLimit
03.08.2015 22:54+2Актуатор включен, но его мощность ограничена и он не может выдержать нагрузку на всем диапазоне полета. Для этого нужны замки. Но странно другое — зачем отдавать это дествие пилотам, ведь все аэродинамические нагрузки можно спрогнозировать/измерить, и принять решение автоматически. А пилоты на подстраховке. Вообще, как мне кажется, чем больше автоматизации тем лчше, ведь человек в экстремальных условиях может ошибиться. Тем более если речь идет о серийных полетах.
AlexanderG
05.08.2015 17:31Тем более, что скорость пилот тоже контролирует по приборам, стало быть, все необходимое для автоматизации этих замков есть.
MetallicAt
05.08.2015 23:59Автоматизация это хорошо, когда все режимы полета отработаны и предсказуемы, когда большинство нештатных ситуаций уже известны и методы борьбы с ними можно отдать автоматике. На этапе тестовых полетов намного безопасней дать больше контроля людям, которые имеют хоть какую-то возможность реагировать на какие-то непредвиденные обстоятельства.
ProLimit
06.08.2015 09:48+1Согласен, но хотя бы большую красную лампу на этой ручке могли бы сделать, чтоб показать пилоту, что по мнению автоматики, переключать этот рычаг сейчас ну никак нельзя. Насколько я понял, именно это и признали ошибкой конструкторов.
gleb_kudr
03.08.2015 17:44+3Зачем вообще для такого аппарата нужно ручное управление полетом?
lozga
03.08.2015 20:01Автопилот разрабатывать будет слишком дорого, да и желающих поубавится. Живой пилот хочет выжить также, как и пассажир, а вот только компьютеру людей в воздухе не доверял еще никто.
ProLimit
03.08.2015 22:59+2Можно доверить какие-то простые атомарные операции, когда на входе и выходе есть детерминированный набор данных и все их сочетания просчитываются на 100%. Такая простая автоматизация применяется повсеместно, к примеру банальны предохранитель — «ток превысил порог — рвем цепь». Так и тут: «скорость возросла и нагрузка на шарнир упала ниже порога — разблокируем замки.». Ну и конено переход на ручное управление, если человек видит что автоматика не справилась.
lozga
04.08.2015 06:49То, что вы предлагаете, нормально, удобно, повышает безопасность, и активно используется. Но в исходном комментарии речь была про полную замену пилота автоматикой, а это уж совсем другой разговор.
gleb_kudr
04.08.2015 14:37+1Все самолеты летают на автопилоте, убиваются в основном не из-за него.
Gothician
04.08.2015 15:09-1В автоматическом режиме посадку и взлет (самые опасные участки полета) практически никогда не осуществляют. Еще не придумали автоматизированную систему, способную с таким же успехом справляться с нестандартными ситуациями, как человек.
Shvedov
05.08.2015 13:13А тем не менее 737 спокойно садится на автопилоте.
Gothician
05.08.2015 14:46Конечно садится. Когда приводы работают, аппаратура не отказывает и внештатных ситуаций не случается.
kreslavsky
05.08.2015 16:18+1Кроме того, 737 и прочие садятся на автопилоте по глиссадному лучу, то есть, при взаимодействии с наземными системами. Кстати говоря, не знаю, как автопилот отрабатывает посадку при сильном боковом ветре. О посадке на реку Гудзон в автоматическом режиме можно даже не думать.
В истории космических полётов автоматически садился Буран, но в серийное производство система не пошла. К тому же, на случай внештатной ситуации его встречали пара истребителей. Да и живых людей на борту не было.AlexanderG
05.08.2015 17:32Интересно, что полагалось делать истребителям в случае?
kreslavsky
06.08.2015 13:09+2Именно то, для чего они созданы.
kreslavsky
06.08.2015 13:14+1Правда, в какой-то момент Буран пропал из виду.
Автоматика должна была принимать решение, по какой траектории заходить на посадочную полосу. Траектория строилась по стенке вертикального цилиндра, и Буран принял решение, которое в силу его малой вероятности народ на ВПП не рассматривал. Плюс низкая облачность.
А потом он «как большой утюг» бесшумно (потому что при посадке он — планер) вывалился из-под облаков буквально над группой ожидающих, с противоположного предполагаемому торца ВПП.
Автоматика посадила его настолько мягко, что тормозной парашют, который должен был сработать от обжатия стойки шасси, не сработал.
Безусловно, это пример успешной работы автоматики в автономном режиме. Но случись внештатная ситуация — и всё было бы иначе.
coylOne
05.08.2015 13:16Кстати, а второму пилоту что-то будет за ошибку или как это летчиков-испытателей устроено – «косякнул, вот теперь и живи с осознанием вины за смерть товарища»?
encyclopedist
05.08.2015 14:37Так виновный как раз погиб.
coylOne
05.08.2015 19:09Ну а если бы не погиб? У них есть какая-то ответственность или испытатель и есть испытатель?
lozga
09.08.2015 08:21В гражданской авиации бывают иски от родственников погибших пассажиров на авиакомпанию. Авиакомпания и платит компенсации. Для того, чтобы попасть под ответственность, нужно нарушить установленные правила, а в испытательных полетах таких правил мало. Если бы, например, забыли закрутить гайку, из-за которой узел бы развалился, то тут ответственность была бы очевидна. Но в реальности бывает, например, что гайку закрутили, но слабо, потому что динамометр сломался, а новый не успели поставить. А в инструкции не написан прямо запрет на использование обычных ключей. В этом случае вину установить гораздо сложнее. Кто виноват — менеджер, давший распоряжение крутить чем есть? Рабочий, который плохо закрутил? Другой менеджер, который ключ с динамометром не заказал вовремя? Авторы инструкции, не написавшие запрет использовать только ключ с динамометром? Обычно такие расследования завершаются выводами об изменении процессов и документации, иногда бывают длительные судебные процессы.
FromArcanum
12.08.2015 18:46Летаем в космос уже полвека, все то же раздолбайство и пренебрежение к эргономике. Я рад, что один из пилотов смог чудом уцелеть и восстановиться.
artspb
Я правильно понял, что второй пилот только разблокировал замки, но систему торможения не активировал? Получается, что она активировалась сама (например, из-за тряски)?
garisson
iirc, она не активировалась, а крылья «вывернуло» набегающим потоком
artspb
Т.е. замки блокируют не ручки активации, а целиком хвостовое оперение?
lozga
Да
wflame
Корабль сложился под действием аэродинамических сил. Система управления просто не смогла удерживать разблокированные замки при такой внешней нагрузке
Gothician
Как я подозреваю, эта система не рассчитана на применение в плотных слоях атмосферы на таких скоростях. Переменный поток воздуха при околозвуковой скорости по силе воздействия превзошел возможности исполнительных механизмов.
lozga
Совершенно верно. При испытаниях аэродинамики аппарата был тест, когда актюаторы были нагружены до предела. Расчет нагрузок и действующих сил оказался точным, хвост сдвинулся только чуть-чуть. После этих испытаний инженеры должны были знать, что трансзвуковой участок актюаторы не выдержат.
ha7y
Либо активировалась сама, либо такая разблокировка что-то вроде ручника на машине. Представьте машину с МКПП и незаведённым двигателем, на которой включена первая передача: человек убирает ручник и если машина на склоне (есть нагрузка) то она может покатиться, пусть и с гашением скорости двигателем. Думаю, в ситуации с этим самолётом пилот должен был «убрать ручник», чтобы удостоверится, что он может быть убран (метка 1.4М), а он убрал на 0.8М => «машина покатилась со склона».
lozga
Верная аналогия. В диапазоне 0,5 — 1,4 М замки должны были быть включены, потому что актюаторы не справятся с нагрузками. После 1,4 М и до 1,8 М их надо было разомкнуть, потому что отказ замка в закрытом положении — это невозможность тормозить при возвращении из космоса и катастрофа.