0%

NASA的估計比我們的要樂觀千萬倍。這可能來源於要在國會和公眾面前誇大其詞以獲取撥款，也可能是由於極其嚴重的信息交流阻滯，使得NASA的管理階層與下面的實際狀況完全脫節。

主引擎比其他組件複雜得多，從設計、施工到運行，總體來講NASA的工作相當出色。但也有一些重大問題。

再者，以前密封圈有損壞但沒有造成災難的事實並不意味著問題不致命。前幾次的僥倖，是因為各次的損壞都沒有達到洩漏的程度；如果某次的損壞碰巧達到了洩漏的地步，那麼災難絕對在劫難逃。由於我們沒有研究清楚密封圈材料的物理化學性質，所以它在特定的一次飛行中究竟是否會損壞到洩漏的程度便是一個懸而未決的疑團。事實上，「挑戰者」的失事不就是最好的證明麼？

我們發現NASA的安全標準逐年降低，特別有一個現象：某種危險的技術問題只要在第一次沒引起大失敗，那麼在以後諸次便被認為是無關緊要的。因此，沒有嚴肅深入的研究改進，也沒有顧及安全而發出的延遲起飛的要求。

在「挑戰者號」失事的那次飛行中，主引擎沒有任何故障。但我問這樣的問題：假設我們以同樣追根究柢的辦法去檢查，會不會發現許多暗藏的致命弱點？在固體助推火箭部門存在的毛病，是否在這兒也有？

當他們觀察到wwｗ.heｔuｂoｏk•coｍ.cｏｍ了密封圈的侵蝕而沒有弄清楚機理的時候，NASA本沒有資格做出樂觀無比的承諾說安全要求完全達到了，但他們自欺欺人地這樣做了。

太空梭的主引擎設計卻完全反了過來，採取的是自上而下的方法。在各組件被徹底研究測試之前，總設計先行開始。結果，在後來的運行中，各個細部不斷地出現問題；而且，一旦出現問題，解決它總要花大筆的經費，因為其他各部都必須做相應的改動。比如，在總體設計和製造完成之後，人們發現高壓氧泵的葉片出現了裂紋。究竟是什麼引起的？是材料本身不過關？高壓氧與表面材料起了反應？急劇的升溫降溫引起材料不均勻地脹縮？某種頻率的共振？從出現裂紋到葉片斷裂有多久？所有這些問題都必須解決。可是，用整體引擎來做實驗就太昂貴了——你不能每做一次實驗都毀掉一個引擎啊！

只有在正反兩個方向的檢查都無差錯時，軟體才算合格。

控制系統的記憶存儲不足以容納起飛、降落和飛行的全部程式，所以，太空人只好手工操作，在整個飛行中把這些子程式換上換下。

面對這些技術難題，NASA沒有去研究解決它們，而是自欺欺人。他們總是引用前幾次飛行沒有出大事故這一事實，試圖證明以前沒有發生的災難今後也不會發生。在密封圈被侵蝕的現象已經被記錄在案的情況下，他們非但沒有予和_圖_書以注意，反倒做出了一個令人吃驚的論斷，「因為僅有三分之一的密封圈有損壞現象，所以我們有三倍的安全係數。」這完全是違反科學邏輯的。比如，一座橋有三個橋墩，其中一個塌掉了，另外兩個沒有塌掉，我們是認為這三分之一的失敗率意味著橋有三倍的安全係數呢，還是認為橋的設計根本是個失敗？正確的答案顯然是後者，因為三個橋墩只要有一個塌方，整個橋就完蛋了。密封圈確實只有三分之一的機會出事故，但這應該被解釋為三十三．三％的事故可能性，而不是三倍的安全性！

一個工程要成功，尊重現實是第一位的，贏得公眾好印象是第二位的，因為自然規律是不會作假的。

在此，我們建議NASA的領導一定要認識客觀的現實，認識技術的限制和尚未解決的問題。只有這樣，他們才會有清醒的頭腦。在比較太空梭和其他航太技術時，他們應該有不誇大事實的態度。在決定起飛的次數時，也應以維修的現實可能為基本考慮。如果現實的情況沒有那麼「一片大好」，國會因此不願撥款支持NASA，那也只能如此！NASA對支持它的公民負有不可推卸的責任，即NASA必須開誠布公，讓民眾明白真相，然後做出最明智的決定。

我的結論是控制系統的檢驗有著最嚴格的品質控制。整個部門沒有出現那種自欺欺人的態度。但是，最近NASA的管理部門提出要裁和-圖-書減控制系統的測試，理由是它們太貴了。這種建議必須加以抵制，因為它沒有注意到裁減必要的測試必將付出沉重的代價。

而且，即使問題被發現了，改進的辦法也找到了，每一次的變化都可能引起許多組件的重新設計和施工。

在起降的記錄中，總共有十六次主引擎事故。工程師們對此極其擔憂，盡全力用各種辦法補救。由於他們的努力，大部分問題被解決了，在這種自上而下的結構中能做到這種程度也真是千難萬難。以下是幾個簡單的例子：

太空梭的主引擎要求的技術遠遠超過了以往任何的飛機和火箭。這項工作確實是在探索全新的方法，試圖達到以前從未想像過的技術指標。不幸的是，這麼龐大艱辛的工程居然用的是自上而下的方法！結果是，二萬七千秒（五十五次起降）無返修的目標沒有達到，許多零件要不停地更換，包括主要組件。比如，氧泵葉片必須每起降三次就要更換，離設計目標差得太遠。

簡單地講，硬體的安全是由四套一模一樣的平行系統保證的。它們收集同樣的數據，根據同樣的程式加以運算，然後互相對比。正常的情況下，它們的結果應該完全相同。如果某個機器出了問題，它便被當即停止。

為了保持太空梭的飛行日程，工程師們常常在未能完成高標準檢測的情況下被要求做一些細微的通融。這些小和*圖*書小的放寬要求積累起來，導致了太空梭的安全性大大下降。以我們的估計，事故率在一％左右。

以上這些帶來了許多不幸，其中之一便是它造成了一種假象，似乎太空梭已經安全到了普通人都可以去的程度。太空人的勇氣當然值得我們敬慕，但他們至少是經過特殊訓練的人；而麥考利夫則是平民百姓，一個中學教師，為了顯示國家對教育的重視被批准加入航太飛行。

現有的軟、硬體都已經老舊，本應該更換。出於經費不足，他們用的還是十五年前的電腦。但它們已經陳舊不堪，再下去連配件都沒人生產了。新一代的電腦容量大了許多倍，又安全可靠，優點一目瞭然。

飛行控制系統的電腦網路極其複雜，其中的主程式就有二十五萬條指令。這些電腦管著升空降落之類的重要環節，它的硬體和軟體都必須每時每刻正常工作。

固體助推火箭的安全性是從以往的火箭事故率推算的。在二千九百次飛行裡，一百二十一次出現過失敗，機率是四％。其中不少問題經過研究被解決了，這樣，上面的數字可以降到二％。再加上特別高要求的選材和監督，一％是個比較合理的估計。

但是NASA的估計要樂觀一千倍。他們的說法是，「因為太空梭是有人駕駛的飛行器，成功率應該是一百％……」這是模稜兩可的說法——他們究竟是說安全性已經達到了一百％，還是應該向一百％的方向努力？在一九八五年二月十五日的JSC報告中，NASA聲稱，「從這和*圖*書幾次的成功看，一個全新的觀念產生了，即有人駕駛比無人駕駛更安全。」我們認為這些講法沒有根據。因為要達到〇．〇〇一％這樣小的數字，這意味著在無數的實驗中，每一次都必須是成功。但事實並非如此。NASA的實驗記錄顯示，許多場合出現過嚴重問題和失敗，因此真實的事故率比〇．〇〇一％要高得多。

在估算太空梭出事故可能性時，各部門給出的數字天差地別：從工程師們的一％，到管理人員的〇．〇〇一％。如果出事故的可能性是〇．〇〇一％，這意味著太空梭可以每天起飛降落，連續三百年也不會出故障。我們不禁要問，「這過分樂觀的估算從何而來？」

軟體的檢查是自下而上的——他們從編碼查起，再查程式，這樣一步一步直到總體軟體都被確認。於此同時，另外一個完全獨立的小組從相反的方向著手，他們裝扮成這些軟體的用戶，盡可能雞蛋裡挑骨頭，測試所有的程式。

儘管如此，事故的可能性還是遠遠大於NASA所聲稱的。隨著成功次數的增多，NASA的安全檢查越來越鬆懈。「挑戰者」失事雖然並非出於主引擎的故障，但隱患之多卻和固體助推火箭部門完全相似。

一般的引擎設計用的是自下而上的方法。首先，人們仔細研究掌握各組件的性能和局限，在這基礎上設計出由它們組成的大一點的組件，反覆試驗後再往上走一層。如此逐步地完成全部工程。由於各部分都做自己的試驗並盡力優化，所以人們對自己的工作非常熟悉，各種問題得以妥善解決，而且節省經費。