按:3月10日,埃塞俄比亞航空的737Max飛機在起飛不久後墜毀。3月27日,中國民營航天公司的“零壹空間-OSM“火箭發射失敗,這是繼去年藍劍空間科技的藍劍·朱雀湖號發射失敗之後的又一次失敗。
這些事故當然都是不幸,但也都在提醒我們,航空和航天不是簡單的事情,需要辛勤的探索。同樣,系統的故障原因也不是簡簡單單幾段話或者一個故事就能說明白的。今天我們回頭看看NASA早期的一起事故,或許會得到更多啟發。
看看上面的圖片,你看到了什麼?
顯然,畫面左邊是一枚火箭,對比周圍的工作人員來看,這無疑是一枚真正的火箭,而不是縮小的模型。畫面右邊是一罐可樂,我們日常生活中隨處可見的聽裝可樂。那麼,二者之間有什麼聯繫嗎?
答案是:有聯繫。
1961年11月21日,左邊這枚火箭,高25.4米,重30噸,發射升空之後,達到了離地10公分的高度——是的,你沒有看錯,離地10公分(4英寸),也就是右邊這一罐可樂的高度。整枚火箭騰空的高度大概是10公分,這就是航天史上著名的“4英寸發射”。
如果你對“4英寸發射”感興趣,想知道這是怎麼回事,不妨聽我從頭道來。前面的鋪墊會比較長,希望你多準備點耐心。
眾所周知,航天的探索離不開二戰中的納粹德國。二戰中,納粹研製成功了兩種導彈,給盟國造成了不小的恐慌。
一種代號V-1,它的樣子類似飛機,導彈發射之後在700米左右高度飛行,抵達目標上空就俯衝下墜。戰後,從V-1導彈發展出今天人們所稱的巡航導彈,新聞中常見的“戰斧”就是巡航導彈的典型代表。
除了V-1,納粹還研製了另一種導彈V-2。與V-1導彈“慢悠悠”飛過去不同,V-2導彈發射之後直飛入天空,達到100千米左右的高度——這叫“主動段”,然後進入“被動段”,按照已經獲得的速度和導航的指引,徑直“砸”向預定目標。V-2導彈就是今天洲際導彈、衛星、航天飛機等的技術源頭。
二戰中,美國已經意識到自己在導彈領域遠遠落後於德國,所以迫切希望從德國獲得相關的人才。但是,鑑於美國公眾非常厭惡“獲得納粹科學家的幫助”,美國政府獲取德國導彈人才的計劃只能以“回形針行動”(Project Paperclip)的代號秘密進行。
美國人的運氣比較好。1945年5月2日,“德國導彈之父”馮·布勞恩向美軍投降,巧合的是,他遇到的正是前來此地區蒐羅人才的“回形針行動”的專門團隊。在美國擬定的“黑色名單”(美國必須搶到的德國工程師和科學家)上,馮·布勞恩是排名第一的人才,而審訊他的則是日後成為“中國導彈之父”的錢學森。當時,錢學森任美國陸軍航空隊上校,專門負責深入前線搜索德國導彈人才。
1945年,美軍上校錢學森在德國前線。來源:網絡
最終,美國從德國蒐羅了超過1600名德國科學家、工程師、技術人員,全部帶回美國,其中就包括維納·馮·布勞恩和他的V-2火箭研究團隊。在美國,他們的任務是訓練軍方的、工業界的、科學界的人才,帶領他們試射運到美國的V-2導彈,傳授導彈和火箭相關的知識,讓美國人迅速掌握。馮·布勞恩博士和他的德國團隊始終處於被監視的狀態,沒有監控不得外出,所以馮·布勞恩博士戲稱自己是“和平囚徒”(PoPs,Prisoners of Peace)。
剛向美軍投降的馮·布勞恩博士,他剛剛經歷了一場車禍,手臂還打著石膏。來源:網絡
1950年朝鮮戰爭爆發,馮·布勞恩博士和他的團隊轉移到了阿拉巴馬州的亨茨維爾市。在那裡的“紅石兵工廠”,馮·布勞恩領導美國的火箭團隊研製了“紅石”(Redstone)火箭。1956年,“紅石”火箭完成了美國第一顆彈道核導彈的試射。1958年,馮·布勞恩博士在“紅石”火箭的基礎上改進出了“朱庇特-C”(Jupiter-C)火箭,又進一步改進出了“朱諾1”(Juno 1)火箭。1958年1月31日,“朱諾1”火箭將美國第一顆人造衛星“探索者-1”(Explorer 1)送入了太空。
美國第一顆衛星發射成功之後的馮·布勞恩博士。來源:NASA
今天我們看來,研製工作就是這樣順利成章走下來的,其實不是這樣。一開始火箭總是爆炸,馮·布勞恩博士的團隊花了很多時間,才能做到“發射場比目標靶場更安全”。除此之外,馮·布勞恩博士還要接受“和平囚徒”的待遇。
1954年5月5日,“紅石”第三次發射,火箭點火1秒之後就熄火了,導彈砸到發射臺上爆炸了。美軍少將Holger Tolftoy質問馮·布勞恩是什麼原因,博士回答說,目前還不知道,要檢查各項數據之後才能回答。Toftoy不依不饒:“維納,火箭為什麼爆炸?” 這下子博士也爆炸了:
火箭爆炸了,就是因為狗孃養的混蛋搞砸了!“紅石”火箭最終成功了,但時間已經是1958年。美國人本可以在1957年8月發射第一顆衛星的,不過艾森豪威爾政府從名聲考慮,搭載美國第一顆衛星的應該是美國工程師研製的民用火箭,而不能是源自“回形針計劃”搶來的德國工程師製造的軍用火箭。
不幸的是,1957年10月4日,蘇聯發射了第一顆人造地球衛星“伴侶”號。美國人在航天上落後了,當局受到巨大的壓力。
1958年7月29日,艾森豪威爾總統簽署了《美國公共法案85-568》,成立了NASA(美國航空航天局),要在太空競賽中取得領先。美國官方也要求馮·布勞恩博士和他的團隊加入NASA,讓他們的經驗服務於航天任務。實際上,馮·布勞恩博士在1954年已經提出過這個想法,但是被拒絕了。
如今大家都知道了,美國的載人航天計劃代號“水星”,其實原本擬定的代號是“航天員”(Astronaut),但艾森豪威爾政府總是希望更含蓄一點,以太張揚為理由否決了這個名字,於是項目代號改成了“水星”。
NASA成立之後選定了佛羅里達州的卡納維拉爾角作為發射基地,在四處抽調人員來到這裡,成立各種機構,其中就包括“水星計劃指揮中心”(MCC,Mercury Control Center)。
雖然NASA備受關注,但早期的工作環境相當惡劣。按照後來的回憶,那時候卡納維拉爾角是一片荒地,到處都是低矮的灌木叢,一不留神就會迷路,而且四周不時有鱷魚出沒。雖然搞的是航天,但大家基本都沒有專門的公寓,一開始都只能住在汽車旅館裡……
當時各建築距離主要道路都有一公里遠,每天的三餐只能靠一輛皮卡拉著餐車在各建築之間遊動——大家把這種車叫做“蟑螂貨車”。每次“蟑螂貨車”停下來的時候,就會用大喇叭通知所有人。哪怕你平時工作累了想弄點牛奶喝,也得等一天三次的大喇叭響起才可以。一直要到1968年“阿波羅8號”任務期間,才設立了一個自動售貨機。據當時的員工回憶,在這個售貨機前永遠排著長長的隊伍,要等很久才能買上一份三明治。
卡納維拉爾角,NASA早期建築。來源:DailyPress
困難還不只這些,NASA在做的是前無古人的事情,沒有任何東西可以參照,必然出現各種意想不到的問題。當時困擾大家的問題之一是,如何在航天任務中保持天地聯繫?解決方案是通過計算,在全球各地設立通訊站,“接力”通訊。
這看起來是個技術問題,其實並不是,後來成為著名飛行總指揮的Gene Kranz就犯過一回大錯。尼日利亞的通訊站建完之後,Gene詢問當地的情況,在通訊站的工作人員回答“這裡簡直一團糟,人民很窮困,政府很差勁……”
NASA沒有想到的是,尼日利亞官方截獲了這條信息,認為這是對尼日利亞的嚴重侮辱,要求美國政府為此事給個說法,否則就撤除通訊站。結果,美國政府不得不道歉。
傳奇飛行總指揮Gene Kranz,是不是帥氣十足?
而且,因為美國政府希望在航天競賽中勝出來證明“自由世界”更優越,所以NASA的活動是高度公開的,這也就意味著很難保密。
20世紀60年代末的一個小故事可以充分說明這點:據肯尼迪航天中心第一位女工程師JoAnn Morgan回憶,有天她和丈夫想放鬆,於是租了條船去深海釣魚。忽然,海面出現浮現一艘潛艇。正昏昏欲睡的她嚇了一跳,驚慌失措,大喊大叫。她丈夫則很鎮靜:“親愛的,這是一艘潛艇,我們來拍幾張照片。”只聽見潛艇上的人大喊“Nyet! Nyet!(俄語的‘不’)”。JoAnn和丈夫趕緊調轉船頭離開了。
更可憐的是宇航員。雖然美國選出了“水星七人”,但飛船還在緊張的設計和製造過程中,他們根本沒有像樣的模擬器可以訓練。據Gene Kranz回憶,他們大概只能“對著儒勒·凡爾納的科幻小說”來想象:模擬器是蒸汽動力的,目視跟蹤用的是普通的潛望鏡,定位用的是電動地球儀。可以說,一半的設備今天看來異常原始,另一半的設備根本就是頭次使用。
總之,NASA的工作就在這樣的環境下蹣跚前行,1960年11月21日,Mecury-Restone 1(簡稱MR-1)要發射了。從代號可以知道,這是用“紅石”火箭完成“水星”任務的第一次發射。計劃在卡納維拉爾角的空軍基地進行,本次發射是實驗性質的,並不搭載宇航員。原計劃是11月7日發射,因為飛船的問題,最後時刻發射任務被取消了,延遲到11月21日進行。
發射的日子終於到來了,早上9點,火箭準時點火。從監控上看,火箭底部按計劃冒了煙,箭身晃了晃,然後就沒聲音了,原來發動機熄火了——事後調查發現,火箭升空10公分之後,又“坐”回了發射臺,矗立原地。霎時間指揮中心警報聲大作,但火箭沒有爆炸,只是靜靜立在那裡。
大家正納悶,轉瞬之間發射臺上又有了動靜,“轟”的一聲,火箭頂部冒出濃煙,原來是頂端的逃逸火箭發射出去了。按之前的設計,如果在發射階段出現險情,火箭頂端還有一枚逃逸火箭,它負責把飛船“拉”出去,然後飛船會通過降落傘降落。
“阿波羅”飛船和“土星-5”火箭的示意圖。最前端的是逃逸火箭,提供發射階段的安全保障。
逃逸火箭此時點火已經是意外,但更詭異的是,飛船並沒有跟隨逃逸火箭飛出去,仍然留在MR-1上。但已經有鋁箔條在滿天飄散,按原計劃,飛船正常降落時會拋出鋁箔條,增強無線電反射,方便雷達追蹤。逃逸火箭升高到了1200米的高度,然後墜落在距離發射臺400米左右的地方。但詭異的事情還沒有完,在逃逸火箭點火之後3秒,飛船打開了主降落傘,豎起了無線電天線。就在大家目瞪口呆的時候,飛船的備降落傘也打開了……
想象一下那畫面:真正發射出去的只有尖頂那枚小小的逃逸火箭,MR-1火箭升空了10公分然後“坐落”下來,沒有傾倒,頭部飄著兩朵降落傘,尖頂已經不見。飛船沒有升空,卻已經完成了正常降落的程序(飛船與火箭的分離是發射階段的步驟,與降落無關)。同時火箭的自毀裝置已經啟動,卻沒有按預定程序自毀。更重要的是,現在發射塔與火箭連接的所有臍帶都已經脫開,地面已經失去了控制能力。
MR-1發射視頻。來源:CharlieDeanArchives
這時候該怎麼辦?
指揮中心亂成一團,所有人都在喊叫。火箭推進部分由馮·布勞恩團隊的德國工程師負責,他們誰也沒見過這種情況,情急之下這些人連番地說起了德語。總指揮Chris Kraft一再打電話詢問情況,德國工程師根本無心顧及。不得已,暴怒的Kraft衝到一名德國工程師面前,揪起他的衣領:
混蛋,快回答我的問題!在指揮中心,所有人都必須聽我指揮!
NASA第一任飛行總指揮,同時也是指揮中心的概念提出者和設計師,Christopher Kraft。
但是大家能做的太有限了,他們手裡只有一本薄薄的,汽車說明書那樣的操作手冊。技術數據是新收集的,指揮中心是新成立的,通訊網絡是新建好的,發射程序是新制定的,所有職位都是新設置的…… 一句話,這是前無古人的工程,即便集中了最優秀的人才,大家仍然無可參照。
無奈歸無奈,問題還是得解決。
現場提出的第一個建議是,派人去把發射臺和火箭之間的臍帶重新連上。但是火箭已經加註了燃料,堪比一個大炸彈,誰都不敢冒生命危險去幹這個,也不敢讓其他人去這麼幹,所以被否決了。
第二個建議是派人開長臂挖掘機,去把降落傘繩割斷,這樣至少避免了大風吹來降落傘把飛船“拽”走的風險,但這同樣有人身危險,所以也被否決了。
這時候又有人提出了第三個建議:找支步槍朝燃料罐開槍,打一個洞,讓燃料洩漏,這樣就消除了爆炸的風險。聽到這個建議,Kraft咆哮了:
蠢貨,不是這樣乾的!你們是第一天來這裡的菜鳥嗎?好在不久又有人提出了建議:按照天氣預報,當天不會有大風,所以不必擔心降落傘會把飛船拽走。火箭上的電池容量有限,如果大家耐心等待一天,電池的電力就會耗盡。電力耗盡之後,燃料罐的閥門就會打開進行洩壓,那麼燃料會自動釋放。如果電池耗盡,燃料洩完,再接近火箭就沒有危險了。
這個方案終於讓Kraft點頭了,他大聲告訴所有人:
請記住,這就是飛行指揮的第一原則:如果你不清楚要做什麼,那就什麼也不要做(If you do not know what to do, don't do anything)。“靜靜等待24小時”的建議被採納了,大家提心吊膽等待了24小時之後,電力果然耗盡,燃料罐果然洩壓。確認沒有危險之後,NASA的工作人員登上火箭,現場處理,大家終於可以放心了。
但是事情還沒完,發射失敗當然是系統故障,但為什麼意外的事情接二連三發生?NASA的工作人員頂著巨大的壓力仔細調查,終於搞清楚了“4英寸發射”的來龍去脈。
首先,火箭為什麼意外熄火?
查出來這是發射時兩根電纜的斷開順序錯亂導致。在火箭尾部有一根信號電纜和一根動力電纜,按計劃,信號電纜應該先斷開,動力電纜然後斷開。不幸的是,本次發射使用的信號電纜是之前導彈發射所用的,所以反而更長。
之前已經有人想到了這一點,所以把電纜夾住了一段,希望能夠解決問題。然而火箭發射時夾子並沒有起到作用,反而是動力電纜先斷開,過了29毫秒,信號電纜才斷開。火箭發動機當即停車。
其次,飛船為什麼沒有分離?而逃逸火箭發射出去了?
按照正常流程,火箭發動機熄火之後,飛船會收到“正常斷開”的信號,這時候已經用不上逃逸火箭了,所以逃逸火箭點火與飛船分離。在本次發射中,逃逸火箭正常點火分離的原因就在這裡。
但飛船並沒有和火箭分離,因為飛船與火箭分離的判斷標準是“飛船的重力加速度為0”。如果一切正常,飛船應當在火箭失去動力時分離,此時已經進入高空,重力加速度接近於0。如果飛船一直停留在地面,重力加速度永遠是1,當然不會與火箭分離。
還有,降落傘為什麼在原地打開?
按原有設計,降落傘的打開是由氣壓決定的,如果逃逸火箭已經發射出去,飛船會時刻檢查氣壓,如果當前高度低於海拔3000米則打開降落傘。
既然火箭一直留在地表,逃逸火箭彈射之後飛船當然要打開降落傘,拋出鋁箔條了。而主降落傘打開之後,傳感器並沒有感受到拉力,所以認為主降落傘打開不成功,於是打開備降落傘。
最後,為什麼系統沒有進行自毀?
因為當時飛控系統工作在開環模式,所謂開環模式,就是不會根據反饋進行調整的控制模式(沒有“防夾手”功能的車窗升降就是這樣)。所以儘管收到了發動機停車的信號,飛控系統也“一意孤行”不啟動自毀。不過系統確實報告當時符合自毀條件,在這一點上,系統確實是正常運作了。
瞭解了所有這些情況,NASA做了眾多針對性的改進。比如專門設置了一條30公分長的控制電纜,確保點火之後其它所有控制電纜的信號都已經正常傳輸,這條電纜才會斷開;又比如用程序保證在火箭點火129.5秒(預計熄火時間之後10秒)之後,火箭才能向飛船發送“正常斷開”的信號……
至於本次發射遺留的火箭和飛船,因為本次發射中飛船沒有損壞,所以它被直接用於改進的MR-1A發射任務並取得成功。而那枚倒黴的火箭則被送馬歇爾太空飛行中心備用,但一直也沒有派上用場,如今作為展品展出。
2004年9月7日的颶風過後,展出“紅石”火箭成了這樣,頂部的逃逸塔真的“逃逸”了。來源:NASA
至於Kraft給飛行指揮中心確定的第一原則,它一直留傳下來,並被一代代人遵守。我在《 》裡提到過,NASA是如何遵循這條原則的。——在“阿波羅12號”升空遭雷擊的事故中,宇航員本來可以啟動逃生程序的,但關鍵時刻他們想到了這條原則,所以什麼也沒有做,最終在指揮中心的Aaron給出了明確的指令,登月行動得以順利進行。
對今天的IT人來說,差不多60年前的“4英寸發射”的故事不僅僅是一段趣事,也能收穫不少啟發。
首先,關於事業和拼搏。
傳統上不少人總認為,美國佬就是好逸惡勞,與艱苦奮鬥是絕緣的。但是閱讀當時的回憶錄,看看NASA成立早期卡納維拉爾角的情況,用“艱苦奮鬥”來描述也不為過。我的觀點是,美國人更重視個人興趣和職業道德,所以即便物質條件沒有那麼豐厚,也有持續的動力。同時不可忽略的是冷戰的大背景,無論美蘇,普通人都有強烈的使命感。許多NASA員工回憶,支撐當時拼命工作的一個信念就是:我們一定不能輸給蘇聯,一定要證明我們的社會制度更優越。
而且,美國人似乎更在意科學的方法論,懂得依靠科學技術來解決問題。
如果你留意就會發現,從一開始,美國的“水星”飛船的返回艙就是鈍頭形的,而蘇聯的“東方”飛船的返回艙是球形的,這是為什麼呢?返回艙要做成什麼形狀,很大程度上是考慮再入大氣層的影響。NASA早就建造了超音速風洞,通過實驗發現鈍頭形狀在進入大氣層時穩定性最好。而蘇聯沒有這個條件,所以他們另闢蹊徑,把飛船做成球形——這樣無論怎麼滾轉都沒有大問題,只是苦了飛行員。
左:“水星”飛船。右上:“水星”的風洞試驗。右下:“東方”飛船。來源:Wikipedia
實際上這一點有許多例證支撐。羅爾斯·羅伊斯(簡稱“羅·羅”)是英國主要的航空發動機公司,其著名設計師Stanley Hooker在回憶錄中提到過一件趣事:二戰期間,英國戰鬥機的主力發動機是“梅林”(Merlin),但英國工廠的產量跟不上需求。於是英國人向福特汽車公司英國工廠求援,並提供全套圖紙,福特的工程師們看過設計圖之後說生產不了,因為“圖紙的精度低、公差大,零件無法替換,生產效率上不來”。福特花了一年左右的時間改造整套設計,最終像“竹筒倒豆子”一樣生產了大量的“梅林”發動機,有力支援了盟軍空軍的戰鬥。
其次,在遇到突發情況時怎麼辦。
在MR-1發射失敗的緊要關頭,大家七嘴八舌給了很多的建議,今天來看有一些當然不靠譜。但是在當時,必須有人一錘定音,給出最終決策,並對此負責。我經歷過不少堪稱重大的IT故障,其中也有不少混亂的場合。想來想去,缺乏一錘定音的“總指揮”是個重要的原因。
雖然沒有清楚記錄到底是誰提出“靜待24小時”的,但這個建議確實體現了很高的技術素養。有天氣預報作為現實證據而不是單純依靠空想,有完整的邏輯鏈條而不只停留在簡單的一兩個環節,而且能在那樣緊急的情況下提出,沒有訓練有素而冷靜的頭腦,是絕對做不到的。
再次,故障調查的時候,能不能把每個環節都搞清楚。
我參與過不少次故障調查,雖然故障的現象是接二連三的一長串,但故障調查往往是令人難堪的過程,所以大家都想早點得到一個“過得去”的簡單結論,同時撇清自己的責任:起碼我這裡是沒有問題的。
在MR-1的調查中我們看到,根本原因是兩條電纜的斷開順序出錯了,但是NASA並沒有止步於此,而是把整個發射過程的來龍去脈都摸清楚了——當然這確實很難,NASA關於幾次重大災難的調查,也被總統調查委員會認為是“缺乏誠意,不夠坦誠”。
我們還應當注意到,發動機停車之後的種種異常,都可以找出“我沒錯”的理由,但是這些“我沒錯”只是滿足於“按道理”的所謂“正常”情況,如果從更整體的視角來看,這些“我沒錯”在當時都造成了難以理解的情況,增加了風險,也增加了大家的緊張,而且負責人在當時也說不出個所以然。
IT系統中也經常出現類似的情況,一個小小的異常引發鏈式反應,造成諸多問題,事後調查時又互相扯皮,大家都認為自己是“正確的”。在我看來,很多時候原因就在於各環節、模塊在設計時偷懶“想當然”,沒有考慮異常情況,也沒有從更高層面進行全局思考——當然,這很難。
作為對比,1960年10月24日,蘇聯發生了與“4英寸發射”類似的航天事故,結局要慘痛許多。當時蘇聯要第三次發射火星探測器,前兩次都失敗了,如果此次再失敗,就必須再等兩年才會出現行星連線的機會。火箭已經加註了燃料,但仍然出現了一些問題,為了不錯過發射時機,也為了向十月革命紀念日獻禮,蘇聯戰略火箭軍總司令聶傑林(Mitrofan Nedelin)元帥堅持要求在發射臺上對火箭進行全面檢查,他本人親臨現場督戰。
科研人員暫停了發射任務,在發射臺上忙碌。沒有想到的是第二級火箭有自己獨立的時鐘,它按原計劃點火了,結果引發整枚火箭爆炸,包括聶傑林元帥在內的在場人員全部遇難。這就是航天史上著名的“聶傑林大劫難(Nedelin Catastrophe)”。
我總覺得,IT和航天其實有很多共通之處。大家常說,IT之所以有這麼多問題,因為行業太年輕,沒有多少經驗可以借鑑。既然如此,為什麼不多從其它行業借鑑點經驗呢?
巧合的是,就在幾個月前(2018年10月11日),俄羅斯發射“聯盟”飛船運送兩名宇航員前往國際空間站。然而就在發射之後119秒的一二級火箭分離時,意外發生了。雖然目前尚不清楚原因,但現場視頻可以看到大量煙霧和碎片。所幸這時逃逸機制順利啟動,在50公里的高度,逃逸火箭帶領飛船脫離。最終,飛船降落在哈薩克斯坦,兩名宇航員安然無恙。
閱讀更多 餘晟以為 的文章
