проверка не имеет никакого отношения к программе безопасности; это лишь испытание этой самой безопасности при проверке, которая происходит для предотвращения катастрофы. О безопасности полета можно судить исключительно по тому, насколько хорошо программы ведут себя во время испытаний. Если здесь произойдет отказ, то он вызовет серьезную озабоченность.
В итоге хотелось бы заметить, что система проверки программного обеспечения компьютеров действительно показывает себя как высококачественная. Судя по всему, там нет места постепенному самообману путем снижения норм, что весьма характерно для систем безопасности твердотопливных ракета-носителей и основных двигателей шаттла. Для вящей убедительности добавлю, что руководство недавно предлагало прекратить такие сложные и дорогие испытания за их ненадобностью в последнее время истории запусков шаттла. Подобным предложениям нужно сопротивляться, потому что люди, их выдвигающие, не представляют взаимные незаметные влияния и источники ошибок, которые могут появиться даже из-за незначительных изменений программы в той или иной ее части. Постоянно возникают просьбы об изменении программы по мере предложения пользователями новых полезных нагрузок и появления новых требований. Любые изменения обходятся дорого, так как они требуют полной проверки. Надлежащий способ экономии денег — это сокращение количества требуемых изменений, а не качества испытаний каждого из них.
Можно также добавить, что эту сложную систему испытаний можно было бы весьма усовершенствовать, оснастив современным аппаратным обеспечением и методиками написания программ. Если бы у НАСА появился любой конкурент вовне, то у него были бы все преимущества, если бы он начал с оснащения новым оборудованием. Сейчас НАСА ст
И наконец, возвращаясь к сенсорам и исполнительным органам системы авиационной электроники, мы обнаруживаем, что отношение к системному отказу и надежности далеко не так хорошо, как в случае с компьютерными системами. Например, была обнаружена проблема, связанная с тем, что из строя порой выходят температурные сенсоры. Однако восемнадцать месяцев спустя в системе по-прежнему использовались те же сенсоры, они все так же иногда выходили из строя, и это происходило до тех пор, пока запуск шаттла не отменили по причине одновременного выхода из строя двух сенсоров. И даже в следующем полете этот ненадежный сенсор был использован снова. Кроме того, возникают сомнения в надежности систем управления реакцией, реактивными струями ракет, которые используются для переориентации и управления в полете. Присутствует значительное излишество, но существует и длинная история отказов, ни один из которых не был достаточно серьезным, чтобы оказать значительное влияние на полет. Действие реактивных струй находится под контролем сенсоров: если струя не выстрелит, то компьютеры выберут для этой цели другую струю. Но они созданы не для того, чтобы не срабатывать, поэтому данную проблему нужно решать.
Если мы хотим придерживаться разумного графика запуска шаттлов, то очень часто возникает ситуация, когда техническую подготовку шаттла не удается провести достаточно быстро, чтобы удовлетворить требованиям изначально консервативных критериев аттестации, которые ставят своей целью гарантировать очень надежный летательный аппарат. В подобных ситуациях критерии безопасности несколько изменяются — причем часто выдвигаются на первый взгляд логичные аргументы, — так, чтобы полеты по-прежнему можно было аттестовать вовремя. Таким образом, шаттл летает в относительно небезопасном состоянии, и вероятность его отказа имеет порядок, равный одному проценту. (Более точную цифру назвать сложно.)
Официальное руководство, с другой стороны, утверждает, что, по их мнению, вероятность отказа в тысячу раз меньше. Одной из причин такой уверенности может быть попытка убедить правительство в совершенстве и успешности НАСА, чтобы гарантировать финансовые вложения. Другая причина, быть может, состоит в том, что они искренне верят в истинность этого, демонстрируя почти невероятное отсутствие передачи информации между менеджерами и работающими у них инженерами.
Как бы то ни было, все это имело весьма неблагоприятные последствия, самое серьезное из которых состоит в поощрении обыкновенных граждан к полету в столь опасной машине, утверждая, что она обладает той же степенью безопасности, что и обыкновенный авиалайнер. Астронавты, как и летчики- испытатели, должны осознавать свой риск, и мы уважаем их мужество. Кто может сомневаться, что МакОлифф[43] была невероятно мужественным человеком, который гораздо в большей степени осознавал риск, на который идет, чем НАСА показывало это нам?
Так давайте же дадим рекомендации, чтобы гарантировать, что официальное руководство НАСА жило бы в реальном мире, понимая технологические слабости и несовершенства достаточно хорошо, чтобы активно пытаться устранить их. Они должны жить в реальном мире и в отношении того, что касается сопоставления затрат и полезности шаттла по сравнению с другими методами покорения космического пространства. Кроме того, они должны реалистично подходить к составлению контрактов и оценке стоимости и сложностей каждого проекта. Следует предлагать только реалистичные расписания выполнения полетов — расписания, имеющие разумную вероятность выполнения. Если при таком раскладе вещей правительство не поддержит НАСА, значит так тому и быть. НАСА обязана быть откровенной, прямой и честной по отношению к гражданам, у которых она просит поддержки, чтобы эти самые граждане могли принимать самые мудрые решения относительно использования своих ограниченных ресурсов.
Чтобы создать успешную технологию, реальность следует ставить превыше общественных отношений, ибо Природу не обманешь.
Часть 3
Эпилог
Предисловие
Когда я был моложе, я считал, что наука принесет пользу всем. Для меня была совершенно очевидна ее польза; наука была хорошей. Во время войны я работал над атомной бомбой. Этот результат науки очевидно являл собой очень серьезное дело: он означал уничтожение людей.
После войны я очень переживал из-за бомбы. Я не знал, каким будет будущее, и уж точно даже близко не был уверен, что мы протянем так долго. А потому возникал такой вопрос: несет ли наука зло?
Если сказать иначе, когда я увидел, какой ужас способна породить наука, то задал себе вопрос: какова ценность науки, которой я посвятил себя, — вещи, которую любил? Это был вопрос, ответ на который должен был дать я.
«Ценность науки» — это своего рода отчет, если хотите, содержащий многие мысли, которые приходили ко мне, когда я пытался на этот вопрос ответить.
Ричард Фейнман
Ценность науки[44]
Время от времени люди говорят мне, что ученые должны уделять больше внимания социальным проблемам, — а особенно, что они должны брать на себя б