W historii programu straciliśmy dwa promy kosmiczne z załogami. W 1986 r. przy starcie rozbił się Challenger, w 2003 r. podczas powrotu – Columbia
Katastrofalne zdarzenia nigdy nie mają tylko jednej przyczyny. Ściślej mówiąc – taka pojedyncza przyczyna może istnieć, ale jest to nieistotny detal, który nie miałby znaczenia, gdyby nie szereg okoliczności prowadzących do tragedii. W metodologii badania wypadków bywa to nazywane łańcuchem błędów. Chcąc poznać faktyczną przyczynę zdarzenia, należy podążać jego tropem od zdarzenia partykularnego (przyczyny bezpośredniej) do przyczyny zasadniczej, czyli tego, co sprawiło, że małe zdarzenie mogło doprowadzić do katastrofy. Jeśli dochodzenie wykaże, że przyczyną wypadku samolotu była poluzowana śruba, to problem tak naprawdę nie zostaje wyjaśniony. Bliżej odpowiedzi będziemy, jeśli ustalimy na poziomie mechanicznym, dlaczego śruby się luzowały. Jeśli jednak ma nie dojść do podobnego wypadku, musimy ponawiać pytanie „dlaczego?” tak długo, aż poznamy zasadniczą przyczynę tego, że śruby były poluzowane. Zwykle na końcu kryje się ludzki błąd, któremu w jakiś sposób da się zapobiec. Na tym w skrócie polega badanie wypadków. Brzmi to nieskomplikowanie, ale jeśli przyczyny zdarzenia były złożone, może to zająć bardzo wiele czasu.
W historii programu straciliśmy dwa promy kosmiczne wraz z załogami. W 1986 r. podczas startu rozbił się Challenger, natomiast w roku 2003 podczas powrotu z przestrzeni kosmicznej zniszczeniu uległa Columbia. W obu przypadkach szybko stwierdzono, że do tragedii doszło na skutek usterek mechanicznych. Już po kilku godzinach od katastrofy Challengera usłyszałem, że jej bezpośrednią przyczyną była nieszczelność rakiety na paliwo stałe. Ustalenie konkretnej przyczyny wypadku Columbii trwało kilka dni, bardzo szybko pojawiło się jednak podejrzenie, że było nią uszkodzenie osłony termicznej na krawędzi natarcia spowodowane przez kawałek pianki, który podczas startu oderwał się od zewnętrznego zbiornika paliwa. To oczywiście dobrze, że dokonano obu tych ustaleń, żadne z nich nie stanowiło jednak samo w sobie odpowiedzi na pytanie, co tak naprawdę się stało i jak w przyszłości zapobiegać takim zdarzeniom.
W obu przypadkach przywrócenie lotów następowało dopiero po około dwóch i pół roku od katastrofy. W obu przypadkach również czas ten dobrze wykorzystano. Podczas gdy społeczność inżynierska poświęcała wiele czasu i energii na wyeliminowanie fizycznych przyczyn zdarzenia, zespół operacyjny i kadra kierownicza tyle samo energii wkładały w ustalenie przyczyn zasadniczych. Te ostatnie były zaś głęboko ukryte i złożone. Jak to zwykle poważne problemy.
Rankiem 28 stycznia 1986 r. stałem w lobby budynku numer cztery Centrum Lotów Kosmicznych imienia Johnsona. Budynek ten był siedzibą kontrolerów systemów i działu szkoleniowego. Tam również mieli swoje pomieszczenia astronauci. Byłem właśnie w drodze na spotkanie mające dotyczyć naukowej misji astronomicznej Astro-1. Planowano wykorzystanie podczas niej systemu IPS, za który odpowiadałem. Podobnie jak kilkadziesiąt innych osób, przystanąłem na moment przed telewizorem, by obejrzeć ostatnie minuty odliczania dla lotu STS-51F. Obejrzałem start, ale zbytnio się na nim nie skupiałem. Byłem wtedy młodym kontrolerem lotu, a na głowie miałem przygotowania do kolejnej misji. Kiedy jednak zobaczyłem rozszczepioną smugę za napędem rakietowym i rakiety przyspieszające SRB wypadające z pęczniejącego obłoku gazu, w którym zniknęły orbiter i zewnętrzny zbiornik paliwa, wiedziałem od razu, że nie wyniesiemy szybko w kosmos kolejnego wahadłowca, a już na pewno możemy zapomnieć o Astro-1. Tamten dzień zmienił nasze życie. Program nigdy później nie był już taki sam.
Straciliśmy załogę, a wraz z nią jednostkę. O ile wahadłowiec udało się ostatecznie zastąpić kolejnym, o tyle siedmiu straconych żyć nic nie mogło już przywrócić. Wszyscy wiedzieliśmy, że zawiodła nie tylko technologia. Musieliśmy ustalić, jak to się stało, że uznaliśmy za dopuszczalny start w sytuacji, gdy nie wiedzieliśmy tak naprawdę, jak niskie temperatury wpływają na uszczelki O-ring utrzymujące gorące gazy wewnątrz rakiet SRB. Był to poważny defekt procesu decyzyjnego. Należało wykorzenić go wraz z każdym innym składnikiem naszych czynności operacyjnych, który czerpał z tej samej kultury myślenia.
Bo to właśnie pewna kultura była zalążkiem katastrofy – kultura, sukces i presja, by nie zwalniać tempa. Wpadliśmy w pułapkę własnego sukcesu. Ponieważ w dość krótkim czasie udało się nam przeprowadzić wiele różnych złożonych misji, nabraliśmy poczucia, że znamy się na tym, co robimy. Czuliśmy się komfortowo, bo dotąd nigdy nie stało się nic strasznego. Nie wiedzieliśmy, że coś strasznego… dopiero ma się stać. Mówiąc najkrócej – ulegliśmy własnemu poczuciu, że skoro dotąd spadaliśmy zawsze na cztery łapy, to będzie tak już zawsze. (…)
W NASA na pewnym etapie nasza kultura myślenia zmierzała do tego, że nie możemy zawieść – że nie wolno nam pozwolić sobie na niepowodzenie. Takie podejście jest dobre, gdy mówimy o operacjach podczas trwającego już lotu. Nie wolno pozwolić sobie na niepowodzenie, gdy gra idzie o to, by załoga bezpiecznie wróciła do domu. Jeśli natomiast myślenie tego typu rozszerzy się na decyzje o starcie i ocenie gotowości (bez startu nie będzie przecież zakończonej powodzeniem misji), to zaczną się problemy. Dyrektorzy lotu odpowiadają za bezpieczeństwo załogi i za powodzenie misji – nie wybierają sobie z tego zestawu jednego elementu. Musimy znajdować takie rozwiązania, które pozwolą zadbać i o jedno, i o drugie. Zdarza się, że trzeba odwołać start i przenieść go na inny dzień. Nie startując, gdy warunki są nieodpowiednie, dopilnowuje się bezpieczeństwa załogi. Jeśli do startu w ogóle nie dojdzie, załoga będzie bezpieczna (no, przynajmniej nie zginie w kosmosie – zawsze może w końcu wpaść pod autobus), ale też nie zostanie zrealizowany żaden z celów misji. Kluczem do powodzenia jest startowanie przy maksimum prawdopodobieństwa bezpiecznej i skutecznej realizacji misji. W okresie, gdy doszło do katastrofy Challengera, wszystkim gdzieś to umknęło.
Jako świeżo upieczony certyfikowany kontroler nie bardzo miałem jednak na to wszystko wpływ. Dla mnie i moich rówieśników okres zawieszenia lotów po katastrofie wypełniony był po prostu pieczołowitą dłubaniną – dzień po dniu, tydzień po tygodniu, miesiąc po miesiącu. Ślęczeliśmy nad szczegółami wytycznych lotu, procedur i szkolenia. Po dwuletnim okresie ciągłych lotów, między którymi odstęp wynosił czasem mniej niż miesiąc, należało teraz zrobić mały krok wstecz, odetchnąć i skorygować pewne elementy, o których wiedzieliśmy, że są mocno niedoskonałe. Ktoś mógłby powiedzieć, że jeszcze przed pierwszym lotem wahadłowca mieliśmy na „prostowanie” niedoróbek dowolną ilość czasu. Sęk w tym, że póki nie jest wdrażany konkretny program, nie wiadomo, czego nie wiadomo. Skutek jest taki, że choć wiele „wytwarzamy”, efekty naszej pracy mogą nie być tymi najbardziej potrzebnymi. Inaczej mówiąc, nie mieliśmy dość zasobów, żeby jednocześnie udoskonalać i korygować komponenty operacyjne i na okrągło latać. Okres uziemienia po katastrofie pozwolił nadgonić zaległości. (…)
W pierwszej kolejności musiałem nauczyć się wiele o systemach w ich ówczesnym kształcie. Następnie szybko zaangażowałem się we wprowadzane na tamtym etapie modyfikacje – w szczególności te dotyczące systemów lądowania i wytracania prędkości. Z prostszych rzeczy mowa tu o oponach, kołach i hamulcach; potem mieliśmy system sterowania przednim podwoziem, który nigdy nie działał, jak należy. Udoskonalano go stopniowo, eliminując kolejne z tzw. punktów podatności na awarię. Są to miejsca i elementy zaprojektowane w taki sposób, że wystąpienie pojedynczego problemu oznaczało brak opcji rezerwowej i usterka mogła się skończyć utratą panowania nad jadącą po pasie jednostką, a w efekcie – tragedią. Kolejnymi wyzwaniami były zdjęcie części obciążenia ze zbyt słabych hamulców oraz zredukowanie obciążeń przedniego koła. By wspomóc je w wytracaniu prędkości, opracowaliśmy spadochron hamujący. Okazał się on sporym wyzwaniem na poziomie zarówno operacyjnym, jak i projektowym.
Każda z grup w ramach działu operacyjnego wdrażała podobne poprawki – udoskonalano komputery, wymieniano zawory, modyfikowano konfigurację hydrauliki i niezliczone elementy okablowania w całym orbiterze. Wszystkie zespoły wykorzystały czas uziemienia na uporanie się z problemami, które istniały już wcześniej, ale fizycznie nie było kiedy się nad nimi pochylić. Nie próbuję w żadnym razie powiedzieć, że nasz orbiter został źle zaprojektowany lub spartaczony. Rzecz po prostu w tym, że ten mocno eksperymentalny, pionierski statek kosmiczny od pierwszych lotów testowych przeszedł wprost do „rutynowej” eksploatacji operacyjnej. Nie było po drodze szansy wprowadzić usprawnień opartych na wiedzy wyniesionej z próbnych lotów orbitalnych. Tragiczne jest to, że trzeba było katastrofy, żebyśmy taką szansę otrzymali. Gdy już jednak się to stało, dobrze wykorzystaliśmy czas.
Mój zespół, poza zajmowaniem się systemem hamującym, odpowiadał też za nowy system ratunkowy obejmujący: skafandry ciśnieniowe, spadochrony i tzw. ścieżkę ucieczki (odrzucany właz i prowadnicę zjazdową skierowaną w stronę lewego skrzydła). Ponieważ wszystkie te elementy były nowe, potrzebne były nowe procedury i wytyczne. Na tym nie koniec, bo byliśmy również odpowiedzialni za usprawnienia pomocniczych jednostek napędowych (APU) i hydrauliki. Każde wyzwanie mechaniczne łączyło się z modyfikacjami w procedurach i wytycznych. Byłoby zniewagą wobec innych zespołów systemowych powiedzieć, że byliśmy najbardziej zajęci, bo w tamtym czasie wszyscy nieustannie nad czymś pracowali. Nie przypominam sobie bardziej pracowitego okresu przez wszystkie lata mojego uczestnictwa w programie.
Czas zawieszenia lotów poświęcono nie tylko na udoskonalanie systemów. Dział operacyjny postanowił wykorzystać go także na skorygowanie wszystkich wytycznych lotu. Przyjrzano się każdemu punktowi z osobna i wszędzie tam, gdzie była taka potrzeba, wprowadzano zmiany. Każdą modyfikację uzupełniano przy tym o pisemne uzasadnienie. W efekcie księga wytycznych stała się ponaddwukrotnie grubsza. Wszystko scalono z czasem w jeden, wypełniający cały segregator dokument złożony z piętnastocentymetrowego stosu kartek. Równolegle z rewizjami wytycznych postępował proces ponownej weryfikacji standardowych i niestandardowych procedur. Przeczesywaliśmy je punkt po punkcie, by nabrać pewności, że żadna nie zawiera niebezpiecznych luk. Kluczowe było dopilnowanie, aby wszystkie zmiany fizyczne znalazły odzwierciedlenie w procedurach operacyjnych i rozwiązywania problemów. (…)
Zespół, którego byłem członkiem, nieustannie poszukiwał lepszych i bezpieczniejszych sposobów sprowadzenia promu na Ziemię i pomyślnego zakończenia misji. W okresie poprzedzającym katastrofę Challengera doszło do kilku przypadków przegrzania hamulców, a raz czy dwa pękła nawet opona. W naszym światku wytracania prędkości wszystko było nieco niedoskalowane. To dlatego, że na etapie definiowania specyfikacji hamulców i innych komponentów masa orbitera miała być niższa. Wszystkie jednostki latające przybierają tymczasem na wadze wraz z rozwojem procesu projektowania. Na etapie dobierania rozmiarów elementów należy o tym pamiętać. W przypadku pojazdów wystrzeliwanych w kosmos masa jest parametrem absolutnie kluczowym. Pozostawione w wyjściowym rozmiarze opony oraz hamulce były po prostu za małe. Dlatego właśnie uzupełniliśmy system o spadochron pozwalający szybko wytracić prędkość na pasie. Hamulce musiały odtąd zmagać się ze znacznie mniejszą energią. Co ciekawe, spadochron hamujący był uwzględniony w pierwotnym, koncepcyjnym projekcie wahadłowca. W połowie lat 70. postanowiono jednak pozbyć się go w ramach redukcji masy jednostki. Przywrócenie go wymagało wielu testów projektowych, a także wdrożenia nowych wytycznych i procedur – by spadochron był wykorzystywany w sposób zoptymalizowany.
Prace operacyjno-projektowe nad spadochronem toczyły się w dużej mierze w zaawansowanych symulatorach, jak symulator inżynieryjny w Centrum Lotów Kosmicznych im. Johnsona czy symulator ruchu pionowego w ośrodku badawczym w Ames w Kalifornii. Setki pilotów (zarówno inżynierów, jak i astronautów) wylatało tysiące podejść w potężnym sześcioosiowym symulatorze w Ames, by mogły zostać opracowane techniki lądowania, które pozostawią największy margines bezpieczeństwa. Testowaliśmy przypadki zablokowanych hamulców, przebitych opon, nieoczekiwanych awarii spadochronu czy usterek przedniego podwozia. Wszystkie uzyskane poprzez symulacje dane znalazły odzwierciedlenie w procedurach i wytycznych, a te z kolei przełożyły się na kształt programu szkolenia dla kontrolerów i pilotów. Naprawdę fajnie było współtworzyć wtedy program. Każdego dnia mnóstwo się uczyliśmy, a przecież bycie zawalonym robotą to świetna rzecz, kiedy jest się młodym.
Fragmenty książki Paula Dye’a Houston, lecimy!, przeł. Stanisław Bończyk, Muza SA, Warszawa 2021
Fot. NASA
Odpowiedz na treść artykułu lub innych komentarzy