回顾美国航天飞机的载人安全性
让我们先从阿波罗飞船和美国航天飞机(space shuttle)的三次事故说起。1月28日是美国航天飞机挑战者号(Space Shuttle Challenger)失事22周年,2月1日是美国哥伦比亚航天飞机的失事5周年,1月27日是美国阿波罗1号(Apollo 1)事故41周年。虽然它们间隔了很多年时间,但日期竟然是如此接近。更为重要的是,这三次事故代表了载人航天安全性的三个最为重要的三个阶段:地面、升空和返回。因此,认真总结美国人的教训对世界各国航天业都是极为重要的。在讨论载人航天安全性问题之前,建议对航空航天有兴趣的朋友们再读一读我的纪念挑战者号和哥伦比亚号两篇文章以及我在关于美国的X-飞机的短文里面介绍的的4.05美元的邮票。从邮票上很容易看出飞机机翼的前沿部分(leading edge)是红色,这表明这里的温度最高,受到的压力也最大。它们是飞机上最需要保护的地方之一。
阿波罗1号飞船事故:1967年1月27日是个星期五。上午10点,3名宇航员照例穿上航天服,登上卡纳维拉尔角航天中心34号发射台顶层。他们要在“土星1B”运载火箭顶端的飞船指令舱内训练。同正式发射一样,飞船内用100%的氧气加压,所有舱门都将关闭。因为不需要为火箭加注燃料,这次试验被认为“没有危险”,医生和消防队都原地待命。但是意外发生了,“驾驶舱内发生火警。” 数秒后,通话在一痛楚的叫声中结束,从闭路电视中可看到怀特正尝试打开舱盖。不过,该两件式舱盖的设计须要队员先松开数个门栓才可打开内舱盖,因而不可能在短时间内开启舱盖。再者,内舱盖是向内开启的,这国际设计标准目的是在太空飞行时利用舱内的气压来进一步封密舱盖空隙。火警产生的热空气令舱盖紧闭,而舱内气压亦在数秒内升至足以阻止队员逃离的程度。火势迅速漫延并于数秒内失去控制。在首次呼叫“火警!”后17秒,三名队员均已死亡。这次事故以后,阿波罗计划被暂停,然后做了一系列的重新设计。有些改进被后来的航天任务证明是至关重要的。这次事故是人类第一次遇到的地面上的事故。经过一系列听证,1967年4月5日调查委员会提交的报告承认,指令舱和整个“阿波罗”系统都忽视了安全。舱门设计者忽视了地面紧急状况下的逃生,指令舱内有好几种易燃材料,应急救援也准备不足。顺便值得一提的是前苏联也有一次飞船在地面出现危险的情况,而它的逃逸塔挽救了宇航员的生命。
航天飞机事故:美国航天飞机载人首飞于1981年4月12日,至今已经发射了一百二十多次。在它第一次发射的时候,人们对其安全性的估计比中国还好,甚至在管理阶层,乐观的估计还要更好,达到低于万分之一。不知道这样的数据是怎么得出的。从第一次到第24此发射,美国民众几乎都相信自己的航天飞机是万无一失的。到1986年第25次发射时发生了挑战者号航天飞机(Space Shuttle Challenger)事故,人们就开始对这个乐观估计有些怀疑了。人们发现,NASA甚至没有把定量危险估计(quantitative risk assessment)作为管理的依据。NASA工程师们对他们的模型做了很大的改进。再到2003年第115次发射,哥伦比亚航天飞机空中解体后,就没有人相信那个乐观的估计。我不知道原来的数字模型是如何建立的,但可以肯定它是错误的。在115次发射中发生两次重大事故,丧失14名宇航员,这与由模型得出的数字相差太远了。
那么问题会是出在什么地方呢?
安全率其实应该是一个动态的数据
我们知道,对航天器不可能象汽车或者普通飞机那样用实物作事故试验(这里有一个"航天飞机碰撞试验"的录像,但显然不是美国的;当然NASA也有对载人舱(Orion capsule)的撞击试验,但不可能是整个运载火箭)。对航天器得出安全性估算只能有两个途径:一个是科研人员想尽所有可能发生的情景来建立一个数学模型,其中包括对许多细微情节决定取舍,然后用计算机进行模拟;另一个就是针对不确定的一些因素设计地面试验(比如风洞试验),测出实际数据。通常是将模拟的初始条件和边界条件定在实际试验的条件上,以验证模拟方法,然后再进一步扩大模拟范围。在第一次发射一个全新的航天器之前,这两条是科研人员可以依据的全部数据。当然如果有别国的类似设计的话也可以参考,但航天飞机在当时显然是一个全新的概念。美国人做的是前人没有做过的事情,有考虑不周是正常的。中国在发射神五之前实际发射过四次无人飞船,我相信这些次的数据也都包括在他们的数学模型里的。但那些都毕竟是在无人的条件下进行的。尽管中国人可以部分地吸取美国和俄国的经验教训,我们还是可以说,中国人是在摸索中前进。
当第一次发射载人飞船之后情况就不同了,因为有了实际发射载人飞船的第一手资料。这些数据对于改进科学家们建立起来的数学模型是至为重要的。具体到神州飞船来说,人们不应该还停留在千分之三的人员伤亡率上,而是应该根据新的第一手资料给出一个新的伤亡率。就拿美国的航天飞机来说吧,自从第一架航天飞机升空以来,每一次飞行归来后,机身都有外燃料箱掉下的绝缘泡沫撞机的伤痕。对此,美国人似乎早已习以为常了。毕竟掉下来的泡沫是少数,而且机翼的前沿部分的面积又是如此之小。甚至到“哥伦比亚”航天飞机的死亡之旅时,美国人也没有认为是个大问题。一家著名大公司当时作过模拟试验。他们为NASA作的分析报导上说:“(航天飞机的)飞行环境明显地在试验条件之外”。外到什么地步呢?实际掉下来的绝缘泡沫的大小是他们试验中使用的绝缘泡沫的640倍!我是在参加一次Edward R. Tufte的讲座时听到这件事的。他说那家公司曾要求他在讲座稿里删去这一段,但事实上,整个报告都可以在NASA的网站上找到。(顺便提一句,Tufte先生每年巡回演讲,谈图象信息的东西,每次都是人山人海。)我真难以想象,他们怎么能用这样的试验来得出结论呢?“哥伦比亚”航天飞机解体之后,美国人才做了大量的试验研究并发现,哪怕仅有一斤重的泡沫砸在机翼上也可以造成致命性的打击,因为飞机在重新进入大气层时的速度非常快。这一点是又一个被大大简化了的地方:模拟试验假定的飞机速度为音速的2.5倍,而“哥伦比亚”航天飞机与地面失去联系前一秒钟时的速度是音速的19.5倍。如果美国人能在第一次发现绝缘泡沫这个现象后就开始研究并采取措施,也许就不会有“哥伦比亚”事故了。当然“哥伦比亚”航天飞机的事故不能简单地归罪于某个人或某个报告。但是,我们可以从一件事情上看出一个系统上的缺陷,一个危险的文化。长达246页的事故调查报告尖锐地指出,NASA甚至没有一个独立的安全检查机构。我们很难想象把质量检查的任务交给项目开发的同一个人来做。这种残缺的体制无法保证没有新的灾难发生。
