Надежность и безопасность

     С большим объемом статистической информации по неудачным пускам ракет-носителей появилась возможность прогнозировать вероятность аварий ракет в будущем как для усовершенствованных модификаций существующих конструкций, так и для ракет новых разработок. К такому выводу пришли американские и советские специалисты. Одинаково определились, что причиной большинства полетных происшествий являются отказы маршевой двигательной установки. Аварии из-за дефектов в конструкции возникают, как правило, во время первых пусков и из-за несовершенства технологии, неожиданно. Те или иные мероприятия по устранению возможности повторения этих дефектов не исключают, к сожалению, еще многих других видов аварий, которые могут случиться. Поэтому специалисты приходят к единому выводу, что наряду с совершенствованием технологии и сопровождающих ее методов объективного контроля на любых этапах изготовления и подготовки к пуску ракеты-носителя, необходимо создание ракет, способных функционировать даже при появлении отказов. Если этого не будет, то количество аварий в ракетной технике не снизится. Это известный вывод и существует как правило.
     В своих дальнейших работах по созданию входящих в ракету "Энергия" систем для поддержания высокой надежности бортовых агрегатов и конструкции предусмотрены соответствующие уровни их подстраховки. Это - главный принцип проектирования современных ракетно-космических комплексов.
     Наряду с принципиальной установкой действуют и известные принципы: максимальное использование апробированных схемно-конструкторских решений, унификация систем и блоков, что позволило уменьшить номенклатуру элементов системы, повысить преемственность и полноту экспериментальной отработки при одновременном сокращении объема.
     Для системы управления полетом ракеты, электрических и электронных подсистем, средств управления системами в технических условиях заложено, что должны быть применены методы резервирования и защиты, исключающие возможность исчерпания работоспособности, а также формирования преждевременных команд при одной возможной неисправности электро-радиоэлемента функционально независимых участков схемы.
     Таким образом, при одном отказе выполняется штатная программа полета. При втором отказе в той же системе обеспечивается необходимое для спасения орбитального корабля с экипажем функционирование бортовых систем.
     Комплекс командных приборов, усилительно-преобразующая и коммутационная аппаратура выполнена в троированном варианте на уровне приборной единицы, а бортовой вычислительный комплекс - на интегральных схемах с многоуровневым мажоритированием. Первичное электропитание обеспечивается четырьмя турбогенераторными источниками тока, один из которых резервный.
     Резервирование в системе управления обеспечивает работоспособность при возможном отказе одного из трех функциональных каналов.
     За счет предусмотренных проектом "Энергии" запасов по тяговооруженности, управляющих моментов, режимов функционирования двигателей при отказе одного из двигателей ракеты-носителя на участке выведения на орбиту ракета с орбитальным кораблем сохраняет способность продолжать управляемый полет и обеспечивать спасение орбитального корабля с экипажем, а также сохранность стартовых сооружений.
     При этом, поскольку неудачные пуски ракет-носителей вызваны, в основном, отказами двигательных установок, так же, как у американских специалистов, эти отказы рассматривались дифференцировано как не катастрофические отказы, при которых отключение неисправного двигателя не приводит к необходимости аварийного прекращения полета, катастрофические отказы, при которых зона отказов распространяется от неисправного двигателя на другие (более одного), и катастрофические отказы, приводящие к аварии одной ступени целиком.
     В качестве объективного закона было принято, что независимо от наличия любой реальной эффективности бортовых систем прогнозирования состояния и предупреждения аварий двигателей увеличение количества двигателей и ступеней у ракеты-носителя приводит к увеличению риска. Этот, казалось бы очевидный, закон в некоторых разработках не учитывался и приводил к драматическому исходу разработки.
     Пневмогидравлическая система блока Ц построена так, что при отказе или неисправности большинства ее элементов, в первую очередь в процессе подготовки ракеты, прекращается штатная программа работ на старте для поиска и устранения ненормальностей, то есть отказ практически любого элемента системы квалифицируется как нештатная ситуация. Однако при этом часть особо ответственных элементов системы задублирована.
     Для ракеты-носителя проведен анализ и определен перечень нештатных ситуаций на различных этапах работ, намечены пути выхода из них. На этом основании разработан порядок работ с ракетой при возникновении нештатной ситуации, закон управления испытаниями и инструкция руководителю работ.
     Конструктивное исполнение элементов системы и схемное решение не приводят к необратимым процессам по причине отказов элементов системы, в том числе при нарушении целостности отдельных газовых магистралей, кроме нарушения трактов окислителя и горючего при наличии в них компонентов топлива. Предсказать последствия такой ситуации во всем многообразии ее проявления не представляется возможным.
     Выход из нештатных ситуаций всегда сопровождается прекращением испытаний и осуществляется при ручном управлении с помощью наземных систем с задействованием исправных бортовых исполнительных или управляющих элементов, задублированных или специально предназначенных для этого.
     Анализ работы пневмогидравлической системы при неисправности ее отдельных элементов по указанной схеме показывает, что безаварийный выход из нештатных ситуаций обеспечивают следующие меры, заложенные в саму систему конструирования:
     - создание разобщенных линий управляющего давления по трактам управления автоматикой окислителя и горючего;
     - дублирование линий наддува водородного бака;
     - дублирование клапанов в линиях наддува водородного и кислородного баков;
     - дублирование основных клапанов в линиях заправки и слива водородного и кислородного баков аварийными клапанами;
     - функционирование дренажных клапанов баков горючего и окислителя в режиме предохранительных клапанов в случае отказа управляющих им клапанов или подводящих линий;
     - дублирование клапанов в линиях "вялой" и интенсивной раскрутки бустерного насоса горючего;
     - дублирование клапанов "газлифта" в расходной и циркуляционной магистрали;
     - дублирование клапанов, управляющих отсечными клапанами водородного бака;
     - наличие двух каналов управления - пневматического и электрического - этими клапанами;
     - дублирование арматуры наддува и дренажа демпфера;
     - дублирование некоторых других элементов или группы элементов. Кроме того, при разработке схемы для обеспечения надежной и безопасной работы приняты следующие решения:
     - разобщение отсеков и полостей кислорода и водорода;
     - полное разделение гидравлических и пневматических полостей двух компонентов;
     - раздельная прокладка трубопроводов окислителя и горючего в отсеках блока Я;
     - раздельное исполнение пневмощитов арматуры по каждому компоненту;
     - применение постоянной продувки азотом всех магистралей, подходящих к полостям, заполненным водородом;
     - исключение попадания внутрь полостей посторонних частиц путем введения фильтров на входах в агрегаты по линии подачи компонентов, на стыках с наземными системами по линии газоснабжения, перед дроссельными элементами малых размеров;
     - введение отсечных клапанов в магистралях подачи компонентов к агрегатам;
     - автоматический сброс давления из емкостей и баллонов при прохождении аварийного выключения;
     - на этапе подготовки и работы с ракетой до команды "контакт подъема" выведение дренажируемого газа из емкости горючего, а также утечек из-за негерметичности из агрегатов в наземные системы для отвода от ракеты.
     Для обеспечения безопасности проведения стендовых испытаний, а также на случай прекращения пуска ракеты до команды "контакт подъема" введены дополнительные продувки камер сгорания двигателей и выдавливание остатков водорода из полостей агрегатов двигателей в емкость горючего.
     В процессе подготовки и пуска ракеты на этапе подготовки пневмогидравлической системы к запуску двигателей предусматривается:
     - автоматическое проведение всех операций;
     - проведение контроля срабатывания отдельных узлов и прохождения процессов в целом;
     - проведение визуального контроля за ходом подготовки ракеты;
     - возможность многократного повторения проведения всех операций;
     - остановка процесса в любой момент подготовки установки и возврат в исходное положение;
     - проведение всех операций в логической последовательности, когда очередная операция начинается при наличии сигнала об успешном проведении предыдущей операции.
     Работоспособность элементов конструкции ракеты типа баков, межбакового хвостового отсека, донной защиты, трубопроводов, баллонов, силовых связей обеспечивается за счет избыточности их несущей способности.
     Подтверждение технических характеристик конструкции и ее доработанности осуществлялось проведением конструкторско-доводочных, статических, динамических испытаний в рамках широкой комплексной программы подтверждения надежности экспериментальной отработкой установок и макетов на стендах.
     Электромеханические, электрогидравлические и механические приводы, система рулевых приводов, отказы которых могут приводить к возникновению нештатных ситуаций, повышены в жизнеспособности с помощью резервирования элементов системы. К примеру, в случае отказа одного из четырех агрегатов питания рулевых приводов одного из двигателей питания осуществляется от соседних агрегатов. Работоспособность системы, таким образом, сохраняется. В случае отказа рулевого привода одного из двигателей камеры остальных двигателей перемещаются по программе, исключающей соударение с камерами соседних двигателей.
     Особенности обеспечения безопасности экипажа на различных участках полета ракеты-носителя "Энергия" и орбитального корабля "Буран" и их предпусковые подготовки:
     При возникновении ситуации на этапе предпусковой подготовки безопасность обеспечивается эвакуацией в бункер через агрегат посадки и экстренной эвакуации или катапультированием экипажа на стартовой позиции. Для ликвидации и локализации пожаро-взрывоопасных ситуаций используются наземные и бортовые средства пожаро-взрывопредупреждения и пожаротушения. Решение о реализации того или иного способа спасения принимается руководителем пуска на основе заранее проведенного предполетного анализа возможных аварийных ситуаций и разработанных способов действия.
     На участке выведения от момента прохождения сигнала "контакт подъема" до отделения орбитального корабля от последней ступени носителя при отказе в любой момент времени одного из двигателей безопасность обеспечивается спасением орбитального корабля с экипажем довыведением на штатную орбиту, довыведением на нештатную орбиту, полетом по одновитковой траектории, реализацией маневра возврата, экстренным отделением, катапультированием экипажа.
     Первые четыре способа требуют от ракеты-носителя продолжения управляемого полета с одним отказавшим двигателем до полной выработки топлива из баков последней ступени. При возникновении отказов в орбитальном корабле, требующих его срочного возвращения, спасение орбитального корабля с экипажем осуществляется полетом по одновитковой траектории или маневром возврата. Отличительными особенностями участка являются быстротечность и необратимость аварийных процессов, а также разветвленная логика использования различных способов спасения, что требует от технических средств, особенно автоматического обеспечения, надежного функционирования в автоматическом режиме или по командам наземного комплекса управления.
     Программа орбитального полета разрабатывается с учетом обеспечения безопасности экипажа при возникновении возможных рассмотренных нештатных ситуаций использования структурного и функционального резерва в системах и подсистемах, использования заранее предусмотренных запасов рабочих тел, использования резервов времени, имеющихся в штатной программе полета, обеспечения готовности орбитального корабля и наземного комплекса управления к реализации срочного и досрочного спусков, использования корабля-спасателя при исчерпании возможностей применения других способов спасения.
     С целью обеспечения выхода из непредвиденных ситуаций программа полета предусматривает возможность реализации гибкого управления по подпрограмме, формируемой из частей имеющейся на борту программы с пульта экипажа или с Земли. При возникновении ситуаций, угрожающих безопасности экипажа, осуществляется экстренное возвращение орбитального корабля с орбиты с посадкой на основной или запасной аэродром.
     Отличительной особенностью участка орбитального полета, с точки зрения безопасности экипажа, является разветвленная программа штатного и нештатного функционирования с многообразием разнотипных операций при ее выполнении.
     При возникновении ситуаций на спуске на высотах ниже 20 км безопасность обеспечивается катапультированием. Особенность - отсутствие способов спасения экипажа в полете до высоты 20 км кроме продолжения начатого спуска в орбитальном корабле, где безопасность обеспечивается только надежностью корабля.
     Посадка орбитального корабля на основной аэродром осуществляется в автоматическом или ручном режимах, а на запасной аэродром, на аэродром вынужденной посадки, на водную поверхность - только в ручном режиме.
     Специальные средства спасения экипажа - скафандры, катапультируемые кресла - не дублируются. В случае необходимости осуществляется резервирование их основных элементов. При возникновении отказов в системах и агрегатах составных частей ракеты-носителя и орбитального корабля в полете, прежде всего, используются возможности внутрисистемных резервов, а после их исчерпания используется межсистемный резерв. Для обеспечения безопасности полета осуществляется в необходимом объеме эффективный контроль и диагностирование технического состояния бортовых систем и агрегатов, а также технических средств управления полетом. Для обеспечения безопасности полета двигатели ракеты-носителя и двигатели орбитального корабля оснащены средствами аварийной защиты, которые в случае возникновения предаварийного состояния указанных двигателей до наступления внешних разрушений и потери их герметичности выдают сигнал в систему управления о необходимости выключения аварийного двигателя, а система управления выключает этот двигатель. При любом случайном отказе в системе бортовых измерений или средствах контроля и диагностики обеспечивается отсутствие влияния такого отказа на функционирование систем, связанных электрическими связями с системой измерений и средствами контроля и диагностики. Каждая конкретная нештатная ситуация оценивается с точки зрения ее критичности и возможности выхода из нее с помощью экипажа и наземного комплекса управления. Если располагаемое время на устранение меньше, чем определяемое возможностью экипажа и наземного комплекса управления, то выход из этой нештатной ситуации осуществляется автоматически. Если располагаемого времени на выход из нештатной ситуации достаточно для выдачи управляющих воздействий со стороны экипажа и нет связи с Центром управления полетом, то выход из нештатной ситуации реализуется силами экипажа. Если связь с Центром управления полетом существует или если время, потребное на выход из нештатной ситуации, позволяет ожидать зоны связи, то выход из нештатной ситуации осуществляется экипажем совместно с наземным комплексом управления.
     Для уменьшения вероятности реализации ошибочных или несанкционированных операций при управлении орбитальным кораблем со стороны экипажа или наземного персонала управления, приводящих к возникновению опасности для экипажа, опасности потери орбитального корабля или угрозе невыполнения программы полета, в технических средствах бортового и наземного комплексах управления предусматриваются специальные блокировки на задействование наиболее ответственных операций.
     Уровень безопасности определяется совокупностью свойств комплекса и условий его функционирования, обеспечивающих нормальный запуск, полет составных частей комплекса и возвращение орбитального корабля на Землю в сохранном состоянии.
     С целью обеспечения надежности и безопасности полета по трассе в конструкции ракеты и орбитального корабля реализованы два вида основных мероприятий:
     - комплекс проектно-конструкторских профилактических решений,
     - комплекс активных средств.
     Комплекс проектно-конструкторских профилактических мероприятий является основой безопасности при полете ракеты.
     Комплекс активных средств придает повышенную живучесть ракете и орбитальному кораблю в нештатных ситуациях.
     Проектом предусмотрено обеспечение герметичности топливных систем применением сварных стыков трубопроводов, арматуры элементов, работающих в среде водорода и кислорода и их паров, введение автоматической сварки на магистралях.
     Кроме мер безопасности, предусмотренных для пневмогидравлической системы, на ракете предусмотрены мероприятия, исключающие источники инициирования возгорания:
     - организованный отвод паров водорода из баков в наземную систему через специальные дренажные трубопроводы;
     - организованное дренирование и балластировка утечек водорода инертным газом - гелием;
     - дожигание выбросов не прореагировавшего водорода при запуске двигателей с помощью специальной системы дожигания;
     - профилактическая продувка блоков Ц и Я азотом.
     На ракете применены конструктивные меры по ограничению температуры нагрева поверхности элементов конструкции внутри отсеков не более 150 градусов. Электрооборудование выполнено во взрывозащищенном исполнении.
     Защита ракеты от статического и атмосферного электричества обеспечивается металлизацией и заземлением ракеты в целом и ее составных частей и системой молниеприемников. Использованы негорючие самозатухающие материалы.
     На ракете-носителе в качестве активных мероприятий задействованы:
     - система пожаро-взрывопредупреждения с пожарными извещателями, расположенными в двигательном отсеке;
     - специальная система продувки азотом - профилактическая с расходом 0,56 кг/с и интенсивная с расходом 1,34 кг/с- с целью нейтрализации отсеков;
     - система аварийной продувки азотом в двух режимах от 15 до 30 кг/с;
     - система подачи фреона в двигательный отсек в двух режимах;
     - бортовой азот с избирательной подачей;
     - система дожигания выбросов не прореагировавшего водорода со своей системой управления.
     Блок Я продувается азотом в профилактическом режиме. Активные средства придают ракете повышенную живучесть в нештатных ситуациях, связанных со случайными нарушениями герметичности конструкции.
     По результатам анализа нештатных ситуаций при предстартовой подготовке, связанных с выбросом винила, предусмотрено дополнительно использовать наземную систему пожаротушения с суммарным расходом воды 160 л/с через три лафетных ствола для охлаждения и отсечки пламени от ракеты в случае возникновения внешнего пожара.
     В целях обеспечения пожаро-взрывобезопасности на орбитальном корабле реализованы мероприятия аналогичного характера.
     Установлено, что для такой сложной ракетно-космической транспортной системы, как “Энергия”-“Буран”, отношения вероятностей возникновения аварий на участках выведения, спуска и посадки оцениваются как 8:1:1 даже при выполнении требований к надежности входящих в систему элементов. Материалы анализа показывают необходимость параллельного решения задач по всему фронту проблем безопасности. Прежде всего это относится к ракете-носителю, как отстающему в этом плане звену.
     Основным показателем ракеты-носителя является не какая-либо ее техническая характеристика или стоимость, а степень надежности, поскольку без надежности запуск ракеты с коммерческой нагрузкой превращается просто в игру случая.
     Но самолеты падают, теплоходы сталкиваются, поезда сходят с рельсов, газопроводы взрываются, пожары вспыхивают. И нет за этим никакого божественного провидения. Специалисты комиссий каждый раз обнаруживают, что в основе аварий лежали вполне земные причины: отказы техники, ошибочные действия людей, непредусмотренные посторонние влияния - так откликалась пресса на "безопасность прогресса".
     Создать сложную машину, которая работала бы абсолютно без отказов, невозможно. Требуют гарантии, но никто такой гарантии не даст, потому что такой гарантии не может быть ни в ядерной, ни в ракетной, ни в какой-либо другой технологии. Принимаемые меры повышения безопасности направлены на то, чтобы снизить вероятность аварий до возможно меньшей величины.
     Как отмечалось в журнале "Спейс" в сентябре 1985 г., в конечном счете по мере увеличения количества полетов возникает вероятность возникновения аварийной ситуации. Если это произойдет, имеется надежда, как говорится в публикации, что американский народ, а также политики и промышленники будут достаточно подготовлены к осознанию неизбежности этого факта и не позволят оказать серьезное влияние на технический прогресс. Тем более, что программа космических полетов проводится на глазах у всего мира, любая аварийная ситуация имеет драматический характер.
     К сожалению, мы не всегда умеем доходчиво передать свою убежденность, что вероятность аварийных ситуаций чрезвычайно мала.


Далее...