航天型号发射失败的内在逻辑——— 偶然中有必然,必然中有逻辑

共 9198字,需浏览 19分钟

 ·

2022-05-25 19:13


文章刊登于《质量与可靠性》杂志2021年12期

作者:杨双进(中国航天科技集团有限公司质量技术部部长)


航天工程是当今世界最具挑战性的高科技领域之一,具有探索性、先进性、 高风险等突出特点,追求 “高质量、高可靠” 和 “一次成功、次次成功” 是航天人不懈努力奋斗的目标。但航天型号发射从来都不是一帆风顺的,其中不乏因发射失利导致人员伤亡的重大事故。通过对国外航空航天重大事故案例的分析,从技术与产品逻辑、系统工程逻辑和人文逻辑 3 个维度,揭示了导致航天型号发射失败的成因和内在规律,以供航天型号研制和管理人员参考借鉴。

引言

1957 年 10 月, 苏联成功将世界上第一颗人造地球卫星送入太空, 开启了人类探索太空奥秘的新时代。经统计, 从 1957 年至 2020 年, 国内外运载器共进行了 6000 余次发射, 发射失败的次数近500 次, 失败的概率为 8%左右, 其中不乏火箭在发射台爆炸、 航天飞机失事导致科学家和宇航员遇难的灾难性事故。如 1986 年 1 月 28 日, 美国挑战者号航天飞机发射升空后 73 秒解体, 机上 7 名宇航员全部遇难;2003 年 2 月 1 日, 美国哥伦比亚号航天飞机在返回地球时解体坠毁, 7 名宇航员全部遇难。航天型号发射失利, 轻者会造成星箭俱损的重大经济损失, 重者会导致严重的人员伤亡,影响巨大。

数万年前, 人类开始意识到某些事会导致其他事的发生, 并且改变前者就会导致后者的改变。所有这一切源于我们的祖先提出的这样一个简单的问题:为什么  ?为什么航天型号发射任务时不时会遭受重大失败?为什么有时会连续集中发生失败案例?为什么失败后, 我们总是感到追悔莫及?不同类型的失败有共同因素吗?有必然的规律吗?如何使航天探索之路走得更稳更远?为回答上述问题,本文对近 20 年来国外航空航天史上的重大事故案例进行了深入分析, 总结了导致失败的 3 个维度、14 个方面的内在逻辑规律。



001、技术和产品逻辑维—— 技术和产品原因导致的发射失败


分析失败的案例, 发现绝大部分航天型号发射失败都是由技术或产品原因导致的, 技术未吃透、 设计和工艺固有缺陷、 产品质量缺陷等往往是导致航天型号发射失败的直接原因。技术与产品逻辑, 主要是技术与产品问题导致失败的内在规律和主要成因。

逻辑 1 :设计和工艺的固有缺陷迟早会成为重大事故的根源。

1960 年 10 月 24 日, 前苏联导弹在发射台爆炸, 其直接原因是技术隐患引发灾难。当时, 温杰林元帅按下导弹发射按钮后, 导弹未发射出去。地面断电后, 元帅带领专家和工程人员集体到发射台进行检测, 但由于差错, 此时弹上并未真正断电,时序仍在执行, 导致导弹二级点火, 引发爆炸, 酿成空前灾难。

2015 年 6 月 28 日, 猎鹰九号火箭执行龙飞船货运发射任务, 火箭起飞 147 秒后发生剧烈爆炸。经查, 事故原因是太空探索技术公司 (SpaceX) 在设计火箭二子级液氧贮箱中的复合材料缠绕压力容器支架时, 未选择航空航天级部件, 只选择了工业级部件, 也未对部件进行适当的建模和充分的载荷测试, 发射时支架失效, 引起氦气泄漏, 导致液氧贮箱因压力过大而破裂, 引发爆炸。

逻辑 2 :好的愿望往往事与愿违, 本意为消除某些故障模式而采取冗余设计措施, 但实际上引入了新的成败型单点故障模式。

2016 年 9 月 1 日, SpaceX 公司在卡纳维拉尔角空军基地对猎鹰九号火箭进行整箭地面静态点火试验, 火箭在加注过程中出现意外, 从火箭二子级起火爆炸, 造成星箭俱毁。经调查, 事故原因是SpaceX 公司改变了液氧贮箱内增压氦气瓶的充气流程, 采用了温度更低的氦气。氦气瓶为复合材料缠绕压力容器, 内胆材料为铝, 外层包裹碳纤维复合材料, 浸泡在零下 207℃的超低温液氧中。事故中采用的氦气充气流程会使超低温液氧渗入碳纤维复合材料层与内胆之间并固化, 引起碳纤维层与氧气发生反应, 导致氦气瓶破裂爆炸。事故后,SpaceX 公司将氦气瓶充气流程恢复至以往的技术状态, 提高氦气温度, 并计划改进气瓶设计防止液氧渗入。

2018 年 10 月 、 2019 年 3 月 2 架 波 音737-MAX8 客机先后坠毁, 300 余人遇难。经查,该型飞机继承了波音 737 的老平台, 加装推力更大的发动机, 改变了飞机平台气动布局, 存在飞行中容易失速的固有缺陷。波音通过委托软件供应商设计预防失速的“机动特性增强系统” (MCAS) 来弥补总体缺陷, 但新增的 MCAS 系统却埋下了可靠性与安全性的严重缺陷, 虽然采取了安装 3 个迎角传感器的硬件冗余, 但 MCAS 系统却只采用单一迎角传感器识别失速并进行自动强制控制, 对 3个迎角传感器既不进行交叉检验, 也不进行冗余表决, 也不告知飞行员进行干预处理, 结果单一迎角传感器的错误数据导致 MCAS 系统自动启动按压机头的调姿动作, 同一故障先后造成 2 起空难, 导致 346 人丧生 。

逻辑 3 :所谓 “合格” 产品, 也可能是残次品, 我们被 “合格” 的检测、 测试数据欺骗了。

2014 年 10 月 28 日, 美国安塔瑞斯火箭发射飞船执行第 3 次“商业补给服务”, 发射前发射团队完成了一系列火箭和地面系统的检查, 都得到了“合格” 的结果。火箭发射升空后, 运载火箭尾端出现烟雾和火焰, 仅数秒后发生爆炸。经查, 主要原因是一台一级发动机在点火 15 秒后失效, 最终导致发射任务失败。我国运载火箭发射失败的案例中, 也不乏因所谓“合格” 的液体火箭发动机导致的失败。我们看到的“合格”, 只是基于现有的检测参数所呈现的“合格”, 对于复杂的系统、 产品,现有的检测参数, 并不能完全代表系统或产品内在质量的合格。



002、系统工程逻辑维度 —— 违背系统工程思想导致的发射失败


德国著名心理学教授、 认知行为领域的权威—— — 迪特里希·德尔纳在 《失败的逻辑》 一书中提到:(1) 现代世界由无数相互联系的子系统组成, 我们必须从这些相互联系的角度去思考问题;(2) 失败的原因往往是只关注一项工作, 而忽视协调性考虑;(3) 假定具备所有的智能、 经验和信息条件, 我们仍然会犯错误, 有时甚至引起灾难性后果, 问题的答案不在于疏忽或粗心, 而源于所谓的“失败的逻辑”:我们思维模式中的某些倾向,诸如一次只做一件事, 单一的因果关系, 线性思维等, 这些都适用于过去的简单世界, 而当今世界,一切事物都是关联的, 我们不能一次只做一件事情, 因为每件事都有多重结果, 我们不能立足于孤立的因果模式考虑问题, 因为所有的情况都有副作用和长远影响;(4) 在未了解一个复杂系统中所有连锁因素之前就采取行动, 即使我们怀着善良的意愿, 也难免铸成大错 。总之, 片面的、孤立的、 割裂的思维逻辑一定是失败的重要原因, 树立系统工程的思维逻辑, 运用系统工程方法是实现成功的法宝。本文分析的系统工程逻辑, 主要是有违系统工程理念原则的主要成因和内在规律, 主要表现在工程管理和组织管理上。

逻辑 4 :把一个大系统当作是若干不相关的独立系统, 虽然简化了认知范围和工作程序, 但必然忽视系统与系统之间的相互作用及相互影响, 从而失败是迟早的事。

2015 年 11 月 4 日, 美国超级斯届比运载火箭首飞发射约 1 分钟后解体爆炸。该次首飞任务原计划于 2013 年 10 月发射, 但由于技术问题连续多次推迟发射 (2014 年 11 月、 2015 年 1 月、 2015 年10 月、 2015 年 11 月)。首飞失利后, 综合分析超级斯届比运载火箭的总体设计方案, 火箭采用了简化的控制系统, 飞行全程采用自旋方式保持箭体稳定, 在大气层内无制导。该种简化降低了系统的抗干扰能力, 火箭升空后由于外界环境出现大的扰动, 导致火箭姿态失稳, 解体爆炸。

对于复杂系统, 局部的状态改变, 也可能引起系统工作平台本质的变化, 需要将整个系统作为整体去分析和验证, 充分认识系统的整体性, 避免出现“只见树木, 不见森林” 的谬误。

逻辑 5 :试图对一个复杂系统通过简化条件、简化边界的措施来处理复杂问题, 终究会失败。

1982 年 9 月 10 日, 欧空局阿里安运载火箭在库鲁发射场发射欧洲海洋通信卫星, 火箭起飞 561秒后, 三级发动机涡轮转速下降直至停转, 发动机提前 30 秒关机, 导致星箭坠毁。经调查, 事故原因是齿轮箱的齿轮间隙变小, 齿轮润滑不良, 使得涡轮泵转速下降, 进而引发发动机提前关机。调查发现, 三级发动机的涡轮泵在验收试验中, 有 2 次试验未进行预润滑, 原因是欧洲推进剂公司的发动机试验设备不符合标准, 可能造成润滑剂在齿轮中粘接, 影响发动机启动。总装前, 主管部门决定验收试验不做预润滑, 进而导致发射过程的齿轮摩擦变大, 涡轮泵转速下降, 三级发动机提前关机。

逻辑 6 :工作流程中的成败型单点, 比产品中的单点故障模式发生的可能性更大, 如果一项关键操作、 关键测试等仅仅由一个人、 一个环节来保证, 一旦突破, 后果将是全局性的灾难。

1990 年 2 月 22 日, 欧空局阿里安运载火箭发射超鸟卫星, 火箭起飞 101 秒后发生爆炸。经调查, 事故原因是工作人员擦拭冷却管道内部时疏忽大意, 将一块碎布误留在一级发动机供液管内, 在后续的测试和检查中均未发现该问题。火箭发射升空后, 碎布堵住了供液阀门, 使液流不能到达一级发动机, 导致火箭爆炸。

2009 年 2 月 24 日, 美国“金牛座” 运载火箭发射轨道碳观测卫星, 发射失败;2011 年 3 月 4日, 该型火箭发射地球观测卫星, 发射失败。经查, 2 次失败均是由于整流罩未按预定要求打开、脱落, 火箭太重, 导致卫星坠落, 原因是整流罩铝制配件强度不达标。经调查, 该型火箭整流罩铝制配件为某供应商生产, 该供应商多年造假, 提供不合格配件, 伪造数千份文件, 但美国航空航天局(NASA)、 美国国防部 (DoD) 等数百名客户一直未对该铝件进行独立测试, 轻信供应商检测结果,想当然地认为铝材符合强度要求, 直至引发了 2 起发射失败。



003、人文逻辑维度—— 人员和组织原因导致的发射失败


航天型号发射失败中, 直接原因往往是导致某单一型号失败的偶然因素, 而被忽视的根本原因,却是导致失败的必然因素。而根本原因是组织问题, 组织问题的根本原因是人的问题, 人的问题的主要 (根本) 原因是管理者的问题。人文逻辑, 主要是目的、 目标、 理念、 文化、 人的行为导致失败的成因和内在规律, 主要表现在不同组织层面和不同类型人员层面。

逻辑 7 :违规操作的代价惨痛, 集体违规一定是管理者负主要责任。

1960 年 10 月 24 日, 前苏联火箭在发射台爆炸, 根本原因是政治挂帅违规冒险。其背景是赫鲁晓夫给涅杰林元帅下达发射任务时说:“当我赴美国谈判, 我的脚踏上美利坚合众国的土地时, 你要给我放一枚导弹, 吓唬吓唬美国人”。当赫鲁晓夫一行到达美国时, 涅杰林元帅旋即按下导弹发射按钮, 但是导弹未发射出去, 迫于形势压力, 在违背安全条例规定、 燃料未泄出的情况下, 元帅带领火箭专家和工程人员百余人集体到发射台进行检查和整修, 发动机爆炸酿成空前灾难。

逻辑 8 :不基于事实的官僚主义决策, 一定是冒险决策, 冒险迟早会付出代价。

1986 年 1 月 28 日, 挑战者号航天飞机发射升空后, 因其右侧固体火箭助推器 (SRB) 的 O 型环密封圈失效, 发射后 73 秒解体, 机上 7 名宇航员全部遇难。这是典型的单点失效导致的重大灾难,但其根本原因却是 NASA 的官僚主义、 “安全文化” 缺失、 安全与可靠性评估粗糙且不切实际。经查, 发射前技术人员发现, 发射前一天夜里的低温, 几乎肯定把 SRB 的温度降到华氏 40 度的警戒温度以下, 并明确提出低温会导致 O 型环的橡胶材料失去弹性这一隐患。但 NASA 管理层否决了 O型环在低温下的功能隐患, 也未采纳罗克韦尔图珍公司提出的大量冰雪堆积在发射台上会威胁到发射的意见, 最终导致航天飞机发射失利。

1987 年 3 月 26 日, 美国宇宙神 - 半人马座运载火箭于卡纳维尔角发射场发射海军舰队通信卫星, 火箭起飞不到 1 分钟, 发射台上空出现电火花击打火箭现象, 火箭受到 4 次闪击, 引起电压浪涌, 感应了火箭制导控制计算机, 启动了火箭旋转发动机, 使火箭从垂直方向变为水平方向, 其后火箭启动自毁程序 。经调查, 发射前发射场周围气象状况不好, 下了一场大雨, 发射推迟 14 分钟,发射台仪器测量数据表明大气层的电势已经超过发射闪电标准线的 4~8 倍, 当时的云厚度和温度也超出发射标准线, 管理人员收到了气象报告, 但并未引起足够的重视, 仍作出了发射的决定, 致使火箭遭到雷击, 发射失败。

逻辑 9 :重大事故前, 会有蛛丝马迹的征兆,但种种原因, 错过了避免重大事故的机会。

1993 年 8 月 2 日, 美国大力神四运载火箭在范登堡空军基地发射军事卫星, 火箭起飞约 101 秒爆炸。经查, 事故原因是助推器的一台固体发动机被烧穿。事后调查发现, 联合公司在进行发动机锻件生产时, 曾发现过锻件间连接处有裂缝, 并进行了修复, 但未对发动机壳体进行严格的处理, 进而造成在发射时发动机锻件壁部被烧穿, 从而导致发射失败。

从波音 737-MAX8 狮航、 埃航 2 次事故来看,在事故发生前已经出现各种先兆, 但是没有得到应有的重视, 最终酿成惨剧。较之多次飞行的航空飞行器, 航天装备子样更少, 在生产、 测试、 使用中出现的各种症候迹象就更加“珍贵”, 必须引起高度重视, 进行系统、 彻底的分析。海恩法则、 墨菲定律的含义不能只停留在口头上, 需要时刻自我警示, 落实在每个工作环节中。

逻辑 10 :侥幸的成功, 很可能是下一次失败的前兆, 只是故障点不发生在同一部位, 但问题的性质却极为相似。

20 世纪 90 年代, 某产品在出厂测试时侥幸发现零位不通, 检查发现是簧片受压变形所致, 后采取措施有效解决了该问题。若该问题未被发现, 按当时的测试细则, 后续将再也没有发现该问题的机会, 有可能导致重大质量问题发生。事隔多年后,该工程发生严重质量问题, 原因是某产品状态错误所致。这 2 起问题, 虽然故障发生的部位不同、 原因不同, 但问题背后的性质却极为相似, 不管是簧片受压变形, 还是产品状态差错, 都是典型的工作不细致导致的小产品可能引发的大事故。

侥幸的成功不等于型号成熟, 侥幸的成功不等于产品可靠, 侥幸的成功不代表故障和问题不存在。不能因为最终的成功的结果, 而抱有侥幸和姑息心理, 忽视了过程中暴露的问题和隐患。对于复杂系统工程, 任何侥幸和姑息的行为都会给后续工作埋下更大的隐患。

逻辑 11 :没有目标, 我们将一事无成。目标有积极目标, 也有消极目标。我们太希望一路顺利地实现积极目标, 有时不愿, 或忽视抑制消极目标的出现。我们想要达到某种确定的状态, 也希望某种情况不要发生, 由于我们对希望不要发生的 “某种情况” 事先并未真正认知, 导致 “发生的问题没想到”。

2014 年 8 月 22 日, 联盟号 ST-B 运载火箭发射 2 颗伽利略导航卫星, 火箭一、 二子级工作正常, 约 10 分钟后, 弗雷盖特 MT 上面级发动机点火, 但卫星被送入错误轨道。经查, 事故原因是上面级姿控推力器的肼燃料管与低温液氦管距离过近, 且采用铝合金金属夹具, 致使肼燃料管被冻结, 导致卫星进入错误轨道。设计时, 没有意识到肼燃料管可能会被冻结的故障模式, 因此未采取有效措施, 导致了问题发生。事后, 采取了绝热夹具、 提高肼燃料管附近区域的温度等措施有效解决了该问题。

逻辑 12 :无知和错误假定。当人们错了或由于不确定而困惑时, 最倾向于坚持自己是正确的。甚至人们宁愿偏爱自己的错误假定而不愿接受正确的东西, 宁愿竭尽全力斗争而不愿放弃确属错误的思想。能够承认自身无知或错误假定, 是智慧的一种象征。

2018 年 10 月, 狮航波音 737-MAX8 空难发生后, 波音公司将空难责任推给了飞行员鲁莽操作和地勤人员未及时更换传感器, 未正视自身问题, 甚至隐瞒问题根源。虽然在狮航空难后, 更新了一份操作手册, 但并未消除 MCAS 系统的设计缺陷,且对在航 737MAX 系列飞机通报不够, 也未采取有效预防措施, 新版本的软件培训未完全覆盖。2019 年 3 月失事的埃赛俄比亚航空航班的飞行员就未参加过培训, 从而丧失了纠正问题的宝贵机会, 间接导致了埃塞俄比亚航空的空难发生。究其原因, 波音公司企业理念文化的衰败是根本, 企业理念由 20 世纪 60 年代的“良心 + 匠心” 的乘客生命安全至上的理念, 转变为“财心 + 贪心” 的利益至上的理念, 令其不能正视问题, 不能彻底解决问题。

航天产品质量问题归零过程中出现的很多现象可归于该类:基于过去做的都是正确的, 即已预设假定正确去找故障原因;如经过了多发飞行试验考核, 认为设计没问题的预设假定。操作者会说, 我们过去一直都是这么做的;管理者会说, 我早就说过要提高要求等, 都是预设自己没有责任假定。

逻辑 13 :自负心理作怪, 想当然地认为错误、失败总是发生在别人身上, 而忽略了相互沟通、 学习与技术交底。

1990 年 3 月 14 日, 美国大力神 3 运载火箭发射国际通信卫星, 火箭与卫星分离失败, 经调查,事故原因是软硬件人员的工作方案不一致, 大力神3 火箭以往是一次双星, 而该次只发射一颗卫星,传输分离信号的导线可分布在卫星前部, 也可分布在后部, 软件人员按照导线分布在卫星前部设计了软件, 而硬件人员将导线分布在卫星后部, 并未正式书面通知软件人员, 结果造成计算机无法执行分离指令, 导致星箭分离失败。

逻辑 14 :忽视小错误终酿大错。我们往往在这犯一个小错误, 又在那犯一个小错误, 而这些小错误累加了起来, 最后就会酿成严重的错误。

2003 年 2 月 1 日, 美国“哥伦比亚” 号航天飞机在着陆前解体坠毁, 7 名宇航员遇难。经查,航天飞机起飞过程中, 外部燃料贮箱表面脱落的一块泡沫材料击中并损坏航天飞机左翼前缘的增强碳- 碳隔热板。当航天飞机返回时, 经过大气层, 高温空气冲入受损的左翼破坏了内部结构, 导致了悲剧发生。事故发生早有征兆, 在 1990 年飞行数据分析时, 就发现了航天飞机热防护设计存在缺陷,NASA 虽然组织了对防热系统进行了改进, 但没有从根本解决问题。哥伦比亚号发射升空后, 发射中心人员发现了外贮箱 3 块保温材料脱落, 并撞击了航天飞机腹部防热瓦, NASA 组织研究了这些碎片对航天飞机的损坏情况, 但存在侥幸心理, 认为防热瓦受损对航天飞机的安全不会构成危害, 在航天飞机 2 周的飞行中未采取任何措施。最终, 导致 7名宇航员遇难。

2013 年 7 月 2 日, 俄罗斯质子号运载火箭发射格洛纳斯导航卫星, 起飞约 32 秒后火箭姿态失控, 坠毁在距发射台约 2.5 公里的发射场内, 星箭俱毁。经调查, 事故是人为故障导致的, 原因是赫鲁尼切夫国家航天科研生产中心违反了质子号 M火箭上的角速传感器安装工艺, 3 个角速度传感器安装时颠倒了 180 度, 导致火箭偏航控制失稳。



04、结束语


成功未可复制, 失败或可避免。每一起航天型号发射失败, 都有偶然的因素, 但偶然中有必然, 必然中有逻辑。只有透过现象看到本质, 我们才能从失败中找到真正的原因, 总结出内在的规律和逻辑, 避免让过去的失败再次成为我们成功路上的绊脚石。

>End

>>>

本文转载自“质量与可靠性”,原标题《航天型号发射失败的内在逻辑——— 偶然中有必然,必然中有逻辑

为分享前沿资讯及有价值的观点,太空与网络微信公众号转载此文,并经过编辑。

支持保护知识产权,转载请注明原出处及作者。

部分图片难以找到原始出处,故文中未加以标注,如若侵犯了您的权益,请第一时间联系我们。


HISTORY/往期推荐




不归零,不上天!——商业发射服务如何转败为胜?



中国商业航天发展若干问题的思考与建议(上)



中国商业航天发展若干问题的思考与建议(下)



商业遥感的瓶颈仅仅是分析处理吗?理念转型才是核心问题




>>>                  

充满激情的新时代,

充满挑战的新疆域,

与踔厉奋发的引领者,

卓尔不群的企业家,

一起开拓,

一起体验,

一起感悟,

共同打造更真品质,

共同实现更高价值,

共同见证商业航天更大的跨越!

——《卫星与网络》,观察,记录,传播,引领。


>>>                                           

· 《卫星与网络》特别顾问:王兆耀

· 《卫星与网络》编辑委员会

高级顾问:王国玉、吴炜琦、刘程、童旭东、相振华、王志义、杨烈

编辑委员:曹志刚、陈嵩辉、邓中亮、荆继武、景贵飞、郎燕、刘进军、刘天雄、宁振波、秦智、汪春霆、吴季、徐小舒、阎丽娟、赵敏、肇启明、周建华、朱铎先

· 《卫星与网络》创始人:刘雨菲

· 《卫星与网络》副社长:袁鸿翼

· 《卫星与网络》常务副社长:冉承新

·  微信公众号(ID:satnetdy)团队
编辑:艳玲、哈玫
主笔记者:李刚、魏兴、张雪松、霍剑、乐瑜、朝天椒、黑法丝、刀子、赵栋
策划部:陈红晞、杨艳
视觉总监:董宁
专业摄影:冯小京、宋炜
设计部:顾锰、潘希峎、杨小明
行政部:姜河、林紫
业务部:王锦熙、瑾怡
原创文章转载授权、转载文章侵权、投稿等事宜,请加微信:18600881613
商务合作;展览展厅设计、企业VI/CI及室内设计、企业文化建设及品牌推广;企业口碑传播及整体营销传播等,请加微信:13811260603
杂志订阅,请加微信:wangxiaoyu9960
· 卫星与网络各分部:
成都分部负责人:沈淮
长沙分部负责人:宾鸿浦
西安分部负责人:郭朝晖
青岛分部负责人:江伟
· 卫星与网络总部负责人:农燕
· 会议活动部负责人乔颢益
· 投融资及战略层面合作:刘雨菲
· 本平台签约设计公司:一画开天(北京)文化创意设计有限公司
· 航天加(深圳)股权投资基金管理负责人:杨艳


浏览 9
点赞
评论
收藏
分享

手机扫一扫分享

分享
举报
评论
图片
表情
推荐
点赞
评论
收藏
分享

手机扫一扫分享

分享
举报