作者 | 飞蠓

众所周知,航天是高风险事业,系统庞大、技术复杂、环境苛刻,极易出现各种故障从而导致严重事故,而载人航天更是高风险中的高风险,一旦出问题,就是血的代价,所以航天工程师很早就开始了对航天工程风险控制的研究,逐渐总结并形成了独特的航天工程风险识别与控制模式,并对普通系统工程的通用风险控制理论做出了自己的贡献。在阿波罗工程时代,还没有像今天这样系统的风险管理理论,但初步的经验总结是有的。

笼统地说,风险控制首要的是风险识别,这种识别不单单是要假设“如果登月舱不能到达指定轨道高度怎么办”、“如果登月舱根本就飞不起来怎么办”等各种异常情况,更重要的是要分析和估计各类故障和异常出现的频度与概率,还要估算故障和异常的损害程度(严重程度),然后要评估应对方案的经济性和可行性,最终综合提出一个完整的风险控制方案。

在设计阿波罗登月舱的时候,工程师除了设计登月舱必要的功能之外,当然也会考虑各种异常的应对和处理,并将其纳入设计方案之中。从月面返回是登月舱必备的核心功能,航天工程师当然要考虑发动机能不能工作的情况。为此他们采取的主要措施是:

一、避开风险

火箭发动机一般采用涡轮泵把推进剂输送到燃烧室,但高速旋转的涡轮泵容易出现故障(胖五遥二火箭就是由于一台YF-77发动机的液氧涡轮泵出现故障从而最终发射失败的),因此在设计登月舱的发动机时,工程师采用了气体挤压储箱输送推进剂方案,为此还研究了一系列“黑科技”,例如超临界氦贮存和增压技术、镀铝聚酯薄膜等等。

值得一提的是,阿波罗飞船上用于挤压推进剂的氦贮罐上还设计了破裂膜片(Burst Disk),当贮罐压力过大时膜片自动破开,排出高压气体;为避免高压气体喷出后形成某个方向的额外推力,还特意设计了排气管道,使排出的气体分别排向两个相反的方向。这些都属于“避开风险”的设计思想。

这个破裂膜片的设计在阿波罗13号事故中就用上了。

二、冗余设计

登月舱上升级的主发动机只有一台,风险比较高;为此,航天工程师进行了特殊设计,一旦主发动机推力不足,就用姿态控制发动机(RCS)提供补充推力(设计推力为主发动机的1/10),这种情况下,如果RCS自己的推进剂用完了,还可以继续使用主发动机储箱内的推进剂。这样可以确保在主发动机不能正常工作时,依然能使登月舱上升级进入环月轨道,即便高度达不到能追赶指令勤务舱的高度。在这种情况下就由指令勤务舱降低轨道来追赶登月舱。

但是和苏联的LK登月舱的动力系统(三台发动机,其中一台备用)相比,阿波罗登月舱的安全冗余设计是不够的。而且在苏联人的计划里,他们还会先发射一个备用的无人登月舱,一旦登月宇航员发现自己的登月舱出现问题,在这种紧急情况下他还可以找到并启用备用登月舱。

三、严密测试

在实际发射之前,NASA先在地面模拟环境中对登月舱进行彻底的测试,发现各种潜在问题,并予以整改,为此还拖延了一些进度。此外,在正式登月之前,登月舱被安排了两次进入太空测试的机会,一次是1969年3月3日的阿波罗9号任务,一次是1969年5月18日的阿波罗10号任务。两次测试登月舱发动机都工作正常。

但即便如此,由于阿波罗计划的太空竞赛色彩太过浓厚,其可靠性设计并不总是放在首位(再举一个简单的例子,登月舱下降级携带的燃料只够一次降落使用)。为了赶进度,宇航员必须要冒着生命危险钻进阿波罗飞船,由威力巨大的土星五号把他们打入天空。正因为这样,对于那些污蔑他们从未真正登月的人,奥尔德林饱以老拳,这完全可以理解。

同样因为这个原因,阿波罗11号发射的时候,尼克松的办公桌里还备着一份悼词,准备在确认阿姆斯特朗和奥尔德林无法从月面回到指令勤务舱时宣读,其内容如下:

“命运决定这些前往月球探险的人将永远在月球上安息,这些勇敢的男人早就知道,他们没有任何回来的希望,不过他们也知道,由于他们的牺牲,人类将拥有更多的希望。这两个男人已经将生命献给人类最崇高的目标:对真相和知识的追寻。他们的家人和朋友将为他们哀悼,他们的国家将为他们哀悼,全世界的人们将为他们哀悼,将她的两个儿子勇敢地送往探索未知世界的地球母亲也将为他们哀悼。

而在指令勤务舱内绕月飞行的柯林斯也早就做好了抛下同伴单独飞回地球的心理准备,不用说,这不是容易做出的决定,但幸好这样的局面没有出现。

-完-