Оригинал материала находится по адресу www.computerra.ru/139262/challenger/
1.02.2016

«Челленджер» и проблема чрезмерной сложности

Говорят, первый вдох определяет жизнь человека: родился на севере — всегда будешь чувствовать себя здесь лучше родившихся в тёплом климате. Не поручусь за медицинскую точность, но у этого правила несомненно есть и иносказательный смысл: увиденное, пережитое в детстве «программирует» тебя до гробовой доски. Уверен, каждый, если копнёт, отыщет личный пример такой предвзятости. А я готов подписаться, потому что вопреки воле и желанию детские воспоминания сформировали мой пессимизм по отношению к «светлому космическому будущему» — которое с возрождённым энтузиазмом мы взялись строить в последние годы.

Вероятно, родись я на десять лет раньше, попади моё детство на человека на Луне, «Союз-Аполлон», штурм планет автоматическими станциями, всё сложилось бы иначе. Но моим первым космическим впечатлением стала гибель «Челленджера». Я и сегодня, ровно тридцать лет спустя, помню тот ролик в деталях — увиденный первоклашкой на чёрно-белом, кажется, «Рекорде»: старт, надежду, вспышку и дымный факел, непонимание на лицах, сменяющееся ужасом…

Та катастрофа не стала последней космической трагедией, которую я наблюдал, но заместить оставленное ею впечатление ничто уже не в состоянии: это был тот самый первый вдох. И вот, интуитивно, я с тех пор ищу и подшиваю к воображаемому досье улики, доказывающие одно: будущее, каким его рисовали фантасты и с упоением рисуют теперь предприниматели новой волны, двинувшиеся на орбиту и далее, никогда не наступит. Космос останется местом непредсказуемых рисков, безумных трат, изматывающего труда. Полёт в космос никогда не будет похожим на поездку на автомобиле или полёт на самолёте. И Space Shuttle Challenger идёт в моём «досье» первым пунктом.

Space Shuttle Challenger, 28 января 1986 года.

Сегодня достоверно известно, что послужило причиной взрыва. Технически это были резиновые кольца, разделявшие секции в ракете-ускорителе: из-за перепадов температур их механические свойства ухудшились, соединение перестало быть плотным, прорвались горячие газы… Но был и человеческий фактор: инженер, работавший в компании, собиравшей ускорители для «Шаттлов», знал о проблеме и многие месяцы пытался достучаться до руководства (своего и NASA), предупреждая о вероятных катастрофических последствиях. Предотвратить трагедию не удалось, но не потому что его не услышали. Его письмо рассмотрели, но решили не давать ход: на NASA «давили», на производителя «давили», задержка была никому не нужна.

Что позволяет сделать два фундаментальных вывода. Во-первых, даже тщательно контролируемая космическая техника слишком сложна, чтобы все дефекты или узкие места в ней можно было гарантированно быстро выявить на этапе эксплуатации (не говоря уже о проектировании). К моменту, когда Роджер Бойсджоли сообщил начальству Morton Thiokol о кольцах, «Шаттлы» летали уже пять лет. Представить же о какой сложности идёт речь позволяют такие цифры: в комплексе Space Shuttle в целом около 2,5 миллионов деталей и почти 400 километров проводов.

Как вообще можно гарантировать слаженную работу такого монстра? В NASA на тот момент опирались на разумный дизайн (такой, который должен сам по себе минимизировать вероятность отказа) и вероятностную оценку (теоретическую оценку рисков каждого элемента в отдельности и комплекса в целом). Ни тот ни другой метод не дают стопроцентной гарантии, а вероятностный так и вообще часто показывает огромный, на несколько порядков, разброс оценочных значений, к чему особенно менеджеры непривычны.

Space Shuttle Columbia, 1 февраля 2003 года.

Менеджеры плохи ещё и тем (и это вывод номер два), что даже в самых зарегулированных и наблюдаемых компаниях и организациях способны отыскать лазейки, позволяющие «оптимизировать» решение задачи. В случае с «Челленджером» они ради выполнения плана проигнорировали конкретное сообщение о дефекте. Можно ли ждать иного от небольших частных компаний, строящих суборбитальные челноки, планирующих орбитальные гостиницы, засматривающихся на межпланетную экспансию?

И вместе с тем винить во всём только менеджеров смысла нет. Их поведение — во многом производное от уже озвученной Проблемы Номер Один: сложности. Современная техника стала чрезмерно сложной и мы вынуждены мириться с её непредсказуемостью. Оглянитесь! Примеров масса и вовсе не только в космической отрасли. Вспомните дата-центры, спроектированные таким образом, чтобы гарантировать максимальный аптайм и всё равно периодически «зависающие», причём по причинам неустановленным («Даунтайм в десятую процента»). Вспомните, что микропроцессоры, работающие в серверах и десктопах, содержат десятки ошибок, выявленных уже после запуска производства — и наверняка ещё десятки, о которых пока неизвестно («Ошибки в процессорах Skylake»).

Вспомните, что управляющий массовыми веб-сервисами софт уже близок по степени сложности к осмысливаемой границе: ещё чуть-чуть и мы будем не в состоянии понять, как работает построенная нами машина («Слишком сложные»)! Что далеко ходить, возьмите победу над человеком в игре го гугловского искусственного интеллекта (достижение, рассматриваемое специалистами по глубокому обучению как закономерное, ожидаемое). Конструкторы способны понять работу своей машины лишь приближённо, потому что играть её научил человек, а вот выигрывать она училась сама.

SpaceShipTwo VSS Enterprise, 31 октября 2014 года.

Ситуация такова, что на земле чрезмерная сложность терпима. На найденную в процессоре ошибку можно разослать патч. Зависшую систему перезагрузить, продублировать. Сломавшийся компонент — обнаружить и заменить. Искусственному интеллекту — до некоторой степени довериться. Техника знает примеры массовых систем, сопоставимых по сложности с тем же «Шаттлом» и всё-таки обеспечивающих очень высокую надёжность. Число деталей в современных авиалайнерах (Aribus A380, Boeing 787), например, даже превосходит цифру для космического челнока, однако именно авиалайнеры уносят меньше всего жизней на километр пути.

Увы, в случае с космосом возможности диагностики и ремонта крайне ограничены. И это в равной степени относится как к государственным космическим агентствам, так и к мелким игрокам, которые, как считается, открыли новую эру, эру «простого и дешёвого космоса» — вроде SpaceX, Blue Origin, Virgin Galactic и прочих (Брэнсон, кстати, устал бороться со сложностью и уже переключился с перевозки людей на искусственные спутники). Это означает, что аварии и катастрофы ещё будут, но прежде всего — что космические рейсы в обозримом будущем не приблизятся по степени комфорта, безопасности и цене к земным.

Как бы нам того ни хотелось.


космос,частный_космос,авиация,Space_Shuttle,Challenger,катастрофа,цифровой_рычаг,уроки_неудач,сложность,ностальгия,Роджер_Бойсджоли,разумный_дизайн




Евгений Золотов, 1999-2018. Личный архив. Некоторые права защищены