Очень похожая ситуация возникает с сертификацией кислородных насосов высокого давления, но об этом мы не будем говорить подробно.
Резюмируя сказанное, очевидно, что «Руководство по подготовке полетов» и «Правила сертификации» предъявляют заниженные требования по ряду проблем основного двигателя космического челнока, которые очень напоминают ту ситуацию, которую мы наблюдали в правилах для ракет-носителей на твердом топливе.
Бортовая радиоэлектроника
Под «бортовой радиоэлектроникой» понимается компьютерная система на орбитальной ступени, а также датчики ввода и силовые механизмы вывода. Сначала мы ограничимся свойствами компьютера, не касаясь надежности входной информации с датчиков температуры, давления и так далее, или того, точно ли следует компьютерный выход за исполнительными механизмами вывода при работе ракеты, за механическими средствами управления, за дисплеями астронавтов.
Компьютерная система детально разработана и насчитывает 250 000 строк программы. Кроме многих других функций, она ответственна за автоматическое управление подъемом на орбиту и за снижение до входа в слои атмосферы (ниже первой границы Маха), когда нажатием кнопки и принимается решение о приземлении. Можно было бы сделать всю процедуру приземления автоматической (кроме переключения сигнала спуска, который не управляется компьютером, а должен обеспечиваться пилотом в целях безопасности), но автоматическое приземление все-таки не так безопасно, как пилотируемое. В ходе орбитального полета компьютер используется для управления полезной нагрузкой, информация отражается на дисплее астронавта, где происходит обмен информацией с землей. Очевидно, что безопасность полета требует гарантированной точности всей сложной системы компьютерного аппаратного и программного обеспечения.
Опишем вкратце структуру системы. Надежность аппаратных средств обеспечивается четырьмя совершенно независимыми одинаковыми компьютерными системами, где, возможно, каждый датчик тоже имеет несколько копий — обычно четыре, причем каждая копия питает все четыре компьютерные линии связи. Если ввод от датчиков не согласуется, что зависит от обстоятельств, то в качестве эффективного ввода используются некоторые усредненные данные или набор основных данных. Алгоритм, используемый для каждого из четырех компьютеров, совершенно одинаковый, поэтому их вводы (как только каждый видит все копии датчиков) тоже одинаковые. Поэтому на каждом этапе результаты в каждом компьютере должны совпадать. Время от времени они сравниваются, и поскольку они могут работать при слегка различных скоростях, система останавливается и ждет установленное время, пока все показания сравниваются. Если показания одного из компьютеров не совпадают или ответ получен слишком поздно, три других, чьи показания оцениваются как правильные, остаются, а ошибочный полностью выводится из системы. Если дает сбой еще один компьютер, его показания не соответствуют двум другим, он тоже выводится из системы — оставшаяся часть полета прерывается, поступает команда на снижение, управляемая двумя последними компьютерами. Ясно, что это система с резервированием, так как отказ одного компьютера не влияет на полет. В конце концов в качестве дополнительного фактора безопасности можно поставить пятый независимый компьютер, память которого загружается только программами подъема и спуска и который способен контролировать спуск, если происходит нарушение работы более двух из четырех компьютеров основной линии.
