buran, shuttle buran program, energia, space shuttle, launcher energia, launcher, USSR, mriya, polyus, poliyus, energya, maks, bor-4, bor-5, bor-6, energia-buran, soviet rocket, space shuttle, soviet launcher, Буран, Энергия, plans, schematic, soviet, russian shuttle, russian space shuttle, USSRburan, shuttle buran program, energia, space shuttle, launcher energia, launcher, USSR, mriya, polyus, poliyus, energya, maks, bor-4, bor-5, bor-6, energia-buran, soviet rocket, space shuttle, soviet launcher, Буран, Энергия, plans, schematic, soviet, russian shuttle, russian space shuttle, USSR


Share
                                                         
This page was automatically translated,
it may contains errors.
Original version here.

Reliability and safety

With great volume of the statistical information on unsuccessful start-up of rockets-carriers{-bearers} there was an opportunity to predict probability of failures{accidents} of rockets in the future both for the advanced updatings existing designs, and for rockets of new development. To such conclusion send{have come} the American and Soviet experts. Were equally defined{determined}, that the reason of the majority of flight incidents are refusals of mid-flight impellent installation. Failures{accidents} because of defects in a design arise, as a rule, during the first start-up and because of imperfection of technology, unexpectedly. Those or other actions on elimination of an opportunity of recurrence of these defects do not exclude, unfortunately, still many other things kinds of failures{accidents} which can happen. Therefore experts come to a uniform conclusion, that alongside with perfection of technology and methods of the objective control accompanying it{her} at any fabrication stages and preparations for start-up of a booster rocket, creation of the rockets, capable to function even is necessary at occurrence of refusals. If it{this} will not be, the quantity{amount} of failures{accidents} in rocket technics{technical equipment} will not decrease. It is a known conclusion and exists as a rule.
In the further works on creation entering into a rocket of "Energia" of systems for maintenance of high reliability of onboard units and designs are stipulated corresponding{meeting} levels of their secure. It is a major principle of designing of modern space-rocket complexes.
Alongside with basic installation known principles operate{work} also: maximal use of the approved схемно-design decisions, unification of systems and blocks that has allowed to reduce the nomenclature of elements of system to raise{increase} continuity and completeness of experimental working off at simultaneous reduction of volume.
For a control system of flight of a rocket, electric and electronic subsystems, control facilities systems in specifications it is incorporated, that methods of reservation and the protection excluding an opportunity of exhaustion of working capacity, and also formation of premature commands{teams} should be applied at one possible{probable} malfunction of an electro-radioelement of functionally independent sites of the scheme{plan}.
Thus, at one refusal the regular program of flight is carried out. At the second refusal in the same system functioning of onboard systems is provided necessary for rescue of the orbital ship with crew.
Complex of command devices, усилительно-преобразующая and the switching equipment is executed in троированном a variant at a level of instrument unit, and the onboard computer complex - on integrated schemes{plans} with multilevel мажоритированием. Primary power supplies are provided to four турбогенераторными with sources of a current, one of which reserve.
Reservation in a control system provides working capacity at possible{probable} refusal of one of three functional channels.
Due to stipulated by the project of "Energia" of stocks on тяговооруженности, the operating moments, modes of functioning of engines at refusal of one of engines of a booster rocket on a site of deducing{removing} into an orbit the rocket with the orbital ship keeps ability to continue operated flight and to provide rescue of the orbital ship with crew, and also safety of starting constructions.
Thus as unsuccessful start-up of rockets-carriers{-bearers} are caused, basically, by refusals of impellent installations the same as at the American experts, these refusals were considered{examined} it is differentiated as not catastrophic refusals, at which switching-off of the faulty engine does not lead to necessity of the emergency termination{discontinuance} of flight, catastrophic refusals, at which the zone of refusals extends from the faulty engine on others (more than one), and the catastrophic refusals leading failure{accident} of one step entirely.
As the objective law it was accepted, that irrespective of presence of any real efficiency of onboard systems of forecasting of a condition and the prevention{warning} of failures{accidents} of engines the increase in quantity{amount} of engines and steps at a booster rocket leads to increase in risk. This, would seem obvious, the law in some development was not considered and led to a drama outcome of development.
The pneumatichydraulic system of block TS is constructed so, that at refusal or malfunction of the majority of its{her} elements, first of all during preparation of a rocket, the regular program of works on start for search and elimination of abnormalities stops, that is refusal practically any element of system is qualified as a supernumerary situation. However thus a part of especially responsible{crucial} elements of system задублирована.
For a booster rocket the analysis is lead and the list of supernumerary situations at various stages of works is certain, ways of an output{exit} from them are planned. On this basis the order of works with a rocket is developed at occurrence of a supernumerary situation, the law of management of tests and the instruction to the head of works.
The design of elements of system and the circuit decision do not lead to irreversible processes owing to refusals of elements of system, including at infringement of integrity of separate gas highways, except for infringement of pathes of an oxidizer and fuel at presence in them of components of fuel. To predict{forecast} consequences of such situation in all variety of its{her} display it is not obviously possible.
The output{exit} from supernumerary situations is always accompanied by the termination{discontinuance} of tests and carried out at manual management by means of ground systems with an involvement of serviceable onboard executive or operating elements, задублированных or specially intended for this purpose.
The analysis of work of pneumatichydraulic system at malfunction of its{her} separate elements under the specified scheme{plan} shows, that the accident-free output{exit} from supernumerary situations is provided with the following measures incorporated in system of designing:
- Creation of the separated lines of operating pressure on pathes of management of automatics of an oxidizer and fuel;
- Duplication of lines of pressurization of a hydrogen tank;
- Duplication of valves in lines of pressurization of hydrogen and oxygen tanks;
- Duplication of the basic valves in lines of refuelling and plum of hydrogen and oxygen tanks emergency valves;
- Functioning drainage valves of tanks of fuel and an oxidizer in a mode of safety valves in default valves operating it{him} or bringing lines;
- Duplication of valves in lines of "languid" and intensive promotion бустерного the pump of fuel;
- Duplication of valves "газлифта" in an account and circulating highway;
- Duplication of the valves operating отсечными valves of a hydrogen tank;
- Presence of two channels of management - pneumatic and electric - these valves;
- Duplication of armature of pressurization and a drainage демпфера;
- Duplication of some other elements or groups of elements. Besides by development of the scheme{plan} for maintenance of reliable and safe work following decisions are made:
- Dissociation of compartments and cavities of oxygen and hydrogen;
- Full division of hydraulic and pneumatic cavities of two components;
- A separate lining of pipelines of an oxidizer and the combustible block in compartments I;
- Separate execution{performance} of pneumoboards of armature on each component;
- Application of a constant purge by nitrogen of all highways suitable to cavities, filled by hydrogen;
- Exception of hit inside of cavities of extraneous particles by introduction of filters on inputs{entrances} in units on a line of submission of components, on joints with ground systems on a line of gas supply, before throttle elements of the small sizes;
- Introduction отсечных valves in highways of submission of components to units;
- Automatic dump of pressure from capacities and cylinders at passage of emergency deenergizing;
- At a stage of preparation and work with a rocket up to a command{team} " contact of rise " deducing{removing} of drained gas from capacity of fuel, and also outflow because of негерметичности from units in ground systems for tap{removal} from a rocket.
For good safety carrying out of bench tests, and also for a case of the termination{discontinuance} of rocket firing up to a command{team} " contact of rise " are entered additional purges of chambers of combustion of engines and expression of the rests of hydrogen from cavities of units of engines into capacity of fuel.
During preparation and rocket firing at a stage of preparation of pneumatichydraulic system to start of engines it is provided:
- Automatic carrying out of all operations;
- Monitoring procedure of operation of separate units and passages of processes as a whole;
- Carrying out of the visual control over a course of preparation of a rocket;
- An opportunity of repeated recurrence of carrying out of all operations;
- A stop of process at any moment of preparation of installation and a reset;
- Carrying out of all operations in logic sequence when the next operation begins at presence of a signal about successful carrying out of the previous operation.
Working capacity of elements of a design of a rocket of type of tanks, межбакового a tail compartment, ground protection, pipelines, cylinders, power{force} communications{connections} is provided due to redundancy of their carrying{bearing} ability.
Acknowledgement{Confirmation} of characteristics of a design and it{her} доработанности was carried out by carrying out of конструкторско-honing, static, dynamic tests within the limits of the wide complex program of acknowledgement{confirmation} of reliability experimental working off of installations and breadboard models at stands.
Electromechanical, electrohydraulic and mechanical drives, system of steering drives, which refusals can lead to occurrence of supernumerary situations, are raised{increased} in viability by means of reservation of elements of system. For example, in default one of four units of a feed{meal} of steering drives of one of engines of a feed{meal} it is carried out from the next units. Working capacity of system, thus, is kept. In default a steering drive of one of engines of the chamber of other engines move under the program excluding impact with chambers of the next engines.
Features of a safety of crew on various sites of flight of a booster rocket of "Energia" both the orbital ship "Buran" and their prestarting preparations:
At occurrence of a situation at a stage of prestarting preparation safety is provided with evacuation in the bunker through the unit of landing{planting} and emergency evacuation or ejection of crew on a launching site. For liquidation and localizations of пожаро-explosive situations are used ground and onboard means пожаро-взрывопредупреждения and пожаротушения. The decision on realization of this or that way of rescue is accepted by the head of start-up on the basis of in advance lead preflight analysis of possible{probable} emergencies and the developed ways of action.
On a site of deducing{removing} from the moment of passage of a signal " contact of rise " up to branch of the orbital ship from last step of the carrier{bearer} at refusal at any moment one of engines safety is provided with rescue of the orbital ship with crew довыведением into a regular orbit, довыведением into a supernumerary orbit, flight on одновитковой trajectories, realization of maneuver of return, emergency branch, ejection of crew.
First four ways demand from a booster rocket of continuation of operated flight with one given up engine before full development{manufacture} of fuel from tanks of last step. At occurrence of refusals in the orbital ship, demanding its{his} urgent returning, rescue of the orbital ship with crew is carried out by flight on одновитковой trajectories or maneuver of return. Distinctive features of a site are transience and irreversibility of emergency processes, and also the branched out logic of use of various ways of rescue that demands from means, especially automatic maintenance, reliable functioning in an automatic mode or on commands{teams} of a ground complex of management.
The program of orbital flight is developed in view of a safety of crew at occurrence of the possible{probable} considered{examined} supernumerary situations of use of a structural and functional reserve in systems and subsystems, uses of in advance stipulated stocks of working bodies, uses of reserves of time which is available in the regular program of flight, maintenance of readiness of the orbital ship and a ground complex of management to realization of urgent and preschedule descents{releases}, uses of the ship-rescuer at exhaustion of opportunities of application of other ways of rescue.
With the purpose of maintenance of an output{exit} from unforeseen situations the program of flight provides an opportunity of realization of flexible management under the subroutine formed of parts available onboard program from the board of crew or from the Earth. At occurrence of the situations menacing to safety of crew, emergency returning the orbital ship from an orbit with landing{planting} to the basic or spare air station is carried out.
Distinctive feature of a site of orbital flight, from the point of view of safety of crew, the branched out program of regular and supernumerary functioning with variety of polytypic operations is at its{her} performance.
At occurrence of situations on descent{release} at heights below 20 km safety is provided with ejection. Feature - absence of ways of rescue of crew in flight up to height of 20 km except for continuation of the begun descent{release} in the orbital ship where safety is provided only with reliability of the ship.
Landing{Planting} of the orbital ship to the basic air station is carried out in automatic or manual modes, and on spare air station, on air station of an emergency landing, on a water table - only in a manual mode.
Special means of rescue of crew - survival suits, катапультируемые armchairs - are not duplicated. Reservation of their basic elements is in case of need carried out. At occurrence of refusals in systems and units of components of a booster rocket and the orbital ship in flight opportunities of intrasystem reserves, first of all, are used, and after their exhaustion the intersystem reserve is used. For good safety flight the effective control and diagnosing of a technical condition of onboard systems and units, and also means of management is carried out by flight in necessary volume. For good safety flight engines of a booster rocket and engines of the orbital ship are equipped by means of emergency protection which in case of occurrence of a preemergency condition of the specified engines before external destructions and losses of their tightness give out a signal in a control system about necessity of deenergizing of the emergency engine, and the control system switches off this engine. At any casual refusal in system of onboard measurements or means of the control and diagnostics absence of influence of such refusal on functioning of the systems connected by electric communications{connections} with a measures and means of the control and diagnostics is provided. Each concrete supernumerary situation is estimated{appreciated} from the point of view of its{her} criticality and an opportunity of an output{exit} from it{her} by means of crew and a ground complex of management. If had time for elimination is less, than defined{determined} by an opportunity of crew and a ground complex of management the output{exit} from this supernumerary situation is carried out automatically. If from a supernumerary situation it is enough had time for an output{exit} for delivery of operating influences from crew also there is no communication{connection} with Control centre of flight the output{exit} from a supernumerary situation is realized by forces of crew. If communication{connection} with Control centre of flight exists or if time, потребное on an output{exit} from a supernumerary situation, allows to expect a zone of communication{connection} the output{exit} from a supernumerary situation is carried out by crew together with a ground complex of management.
For reduction of probability of realization of the erroneous or not authorized operations at management of the orbital ship from crew or the ground personnel of the management, leading occurrence of danger to crew, danger of loss of the orbital ship or threat of default of the program of flight, in means onboard and ground complexes of management special blocking on an involvement of the most responsible{crucial} operations are provided.
The level of safety is defined{determined} by set of properties of a complex and the conditions of its{his} functioning providing normal start, flight of components of a complex and returning of the orbital ship to the Earth in a safe condition.
With the purpose of maintenance of reliability and safety of flight on a line in a design of a rocket and the orbital ship two kinds of the basic actions are realized:
- A complex of design preventive decisions,
- A complex of active means.
The complex of design preventive actions is a basis of safety at flight of a rocket.
The complex of active means gives the raised{increased} survivability to a rocket and the orbital ship in supernumerary situations.
The project stipulates maintenance of tightness of fuel systems with application of welded joints of pipelines, armatures of the elements working in the environment of hydrogen and oxygen and them паров, introduction of automatic welding on highways.
Except for the security measures stipulated for pneumatichydraulic system, on a rocket the actions excluding sources of initiation of ignition are stipulated:
- The organized tap{removal} паров hydrogen from tanks in ground system through special drainage pipelines;
- Organized дренирование and ballasting of outflow of hydrogen by inert gas - helium;
- Reburning emissions of not reacted hydrogen at start of engines by means of special system of reburning;
- A preventive purge of blocks TS and I nitrogen.
On a rocket constructive measures on restriction of temperature of heating of a surface of elements of a design inside of compartments no more than 150 degrees are applied. The electric equipment is executed in hardened execution{performance}.
Protection of a rocket against a static and atmospheric electricity is provided with metallization and grounding of a rocket as a whole and its{her} components and system молниеприемников. Nonflammable self-fading materials are used.
On a booster rocket as active actions are involved:
- System пожаро-взрывопредупреждения with firemen извещателями, located in an impellent compartment;
- Special system of a purge nitrogen - preventive with the charge of 0,56 kg/with and intensive with the charge 1,34 кг/с-with the purpose of neutralization of compartments;
- System of an emergency purge nitrogen in two modes from 15 up to 30 kg/with;
- System of submission of freon in an impellent compartment in two modes;
- Onboard nitrogen with selective submission;
- System of reburning of emissions of not reacted hydrogen with the control system.
The block I is blown by nitrogen in a preventive mode. Active means give to a rocket the raised{increased} survivability in the supernumerary situations connected with casual infringements of tightness of a design.
By results of the analysis of supernumerary situations by the prestarting preparation, connected with emission of vinyl, is stipulated to use in addition ground system пожаротушения with the total charge of water 160 ½/with through three лафетных a trunk for cooling and отсечки a flame from a rocket in case of occurrence of an external fire.
With a view of maintenance of пожаро-explosion safety by the orbital ship actions of similar character are realized.
It is established{installed}, that for such complex{difficult} space-rocket transport system as ⌠Энергия ■-⌠ the Buran ■, attitudes{relations} of probabilities of occurrence of failures{accidents} on sites of deducing{removing}, descent{release} and landing{planting} are estimated{appreciated} as 8:1:1 even at performance of requirements to reliability of elements entering into system. Materials of the analysis show necessity of the parallel decision of problems{tasks} on all front of problems of safety. First of all it concerns to a booster rocket, as to a part lagging behind in this plan.
The basic parameter of a booster rocket is not its{her} any characteristics or cost, and a degree of reliability as without reliability start of a rocket with a pay load turns simply to game of a case.
But planes fall, steam-ships collide{face}, trains are derailed, gas mains blow up, fires flash. Also there is behind it{this} no divine foresight. Experts of the commissions find out each time, that in a basis of failures{accidents} quite terrestrial reasons laid: refusals of technics{technical equipment}, erroneous actions of people, unforeseen extraneous influences - so the press responded to " safety of progress ".
To create the complex{difficult} machine{car} which would work absolutely without refusals, it is impossible. The guarantee demand, but anybody will not give such guarantee, because such guarantee cannot be neither in nuclear, nor in rocket, in any other technology. Taken measures of increase of safety are directed on lowering probability of failures{accidents} to probably smaller size.
As it was marked{celebrated} in magazine " Space " in September, 1985, finally in process of increase in quantity{amount} of flights there is a probability of occurrence of an emergency. If it will occur{happen}, there is a hope, as they say in the publication, that American people, and also politicians{policies; politics} and industrialists will be prepared enough for comprehension of inevitability of this fact and will not allow to render serious influence on technical progress. As the program of space flights is spent on eyes at all world, any emergency has drama character.
Unfortunately, we not always are able to transfer{transmit} intelligibly the conviction, that the probability of emergencies is extremely small.


Original version of the text


Надежность и безопасность

С большим объемом статистической информации по неудачным пускам ракет-носителей появилась возможность прогнозировать вероятность аварий ракет в будущем как для усовершенствованных модификаций существующих конструкций, так и для ракет новых разработок. К такому выводу пришли американские и советские специалисты. Одинаково определились, что причиной большинства полетных происшествий являются отказы маршевой двигательной установки. Аварии из-за дефектов в конструкции возникают, как правило, во время первых пусков и из-за несовершенства технологии, неожиданно. Те или иные мероприятия по устранению возможности повторения этих дефектов не исключают, к сожалению, еще многих других видов аварий, которые могут случиться. Поэтому специалисты приходят к единому выводу, что наряду с совершенствованием технологии и сопровождающих ее методов объективного контроля на любых этапах изготовления и подготовки к пуску ракеты-носителя, необходимо создание ракет, способных функционировать даже при появлении отказов. Если этого не будет, то количество аварий в ракетной технике не снизится. Это известный вывод и существует как правило.
В своих дальнейших работах по созданию входящих в ракету "Энергия" систем для поддержания высокой надежности бортовых агрегатов и конструкции предусмотрены соответствующие уровни их подстраховки. Это - главный принцип проектирования современных ракетно-космических комплексов.
Наряду с принципиальной установкой действуют и известные принципы: максимальное использование апробированных схемно-конструкторских решений, унификация систем и блоков, что позволило уменьшить номенклатуру элементов системы, повысить преемственность и полноту экспериментальной отработки при одновременном сокращении объема.
Для системы управления полетом ракеты, электрических и электронных подсистем, средств управления системами в технических условиях заложено, что должны быть применены методы резервирования и защиты, исключающие возможность исчерпания работоспособности, а также формирования преждевременных команд при одной возможной неисправности электро-радиоэлемента функционально независимых участков схемы.
Таким образом, при одном отказе выполняется штатная программа полета. При втором отказе в той же системе обеспечивается необходимое для спасения орбитального корабля с экипажем функционирование бортовых систем.
Комплекс командных приборов, усилительно-преобразующая и коммутационная аппаратура выполнена в троированном варианте на уровне приборной единицы, а бортовой вычислительный комплекс - на интегральных схемах с многоуровневым мажоритированием. Первичное электропитание обеспечивается четырьмя турбогенераторными источниками тока, один из которых резервный.
Резервирование в системе управления обеспечивает работоспособность при возможном отказе одного из трех функциональных каналов.
За счет предусмотренных проектом "Энергии" запасов по тяговооруженности, управляющих моментов, режимов функционирования двигателей при отказе одного из двигателей ракеты-носителя на участке выведения на орбиту ракета с орбитальным кораблем сохраняет способность продолжать управляемый полет и обеспечивать спасение орбитального корабля с экипажем, а также сохранность стартовых сооружений.
При этом, поскольку неудачные пуски ракет-носителей вызваны, в основном, отказами двигательных установок, так же, как у американских специалистов, эти отказы рассматривались дифференцировано как не катастрофические отказы, при которых отключение неисправного двигателя не приводит к необходимости аварийного прекращения полета, катастрофические отказы, при которых зона отказов распространяется от неисправного двигателя на другие (более одного), и катастрофические отказы, приводящие к аварии одной ступени целиком.
В качестве объективного закона было принято, что независимо от наличия любой реальной эффективности бортовых систем прогнозирования состояния и предупреждения аварий двигателей увеличение количества двигателей и ступеней у ракеты-носителя приводит к увеличению риска. Этот, казалось бы очевидный, закон в некоторых разработках не учитывался и приводил к драматическому исходу разработки.
Пневмогидравлическая система блока Ц построена так, что при отказе или неисправности большинства ее элементов, в первую очередь в процессе подготовки ракеты, прекращается штатная программа работ на старте для поиска и устранения ненормальностей, то есть отказ практически любого элемента системы квалифицируется как нештатная ситуация. Однако при этом часть особо ответственных элементов системы задублирована.
Для ракеты-носителя проведен анализ и определен перечень нештатных ситуаций на различных этапах работ, намечены пути выхода из них. На этом основании разработан порядок работ с ракетой при возникновении нештатной ситуации, закон управления испытаниями и инструкция руководителю работ.
Конструктивное исполнение элементов системы и схемное решение не приводят к необратимым процессам по причине отказов элементов системы, в том числе при нарушении целостности отдельных газовых магистралей, кроме нарушения трактов окислителя и горючего при наличии в них компонентов топлива. Предсказать последствия такой ситуации во всем многообразии ее проявления не представляется возможным.
Выход из нештатных ситуаций всегда сопровождается прекращением испытаний и осуществляется при ручном управлении с помощью наземных систем с задействованием исправных бортовых исполнительных или управляющих элементов, задублированных или специально предназначенных для этого.
Анализ работы пневмогидравлической системы при неисправности ее отдельных элементов по указанной схеме показывает, что безаварийный выход из нештатных ситуаций обеспечивают следующие меры, заложенные в саму систему конструирования:
- создание разобщенных линий управляющего давления по трактам управления автоматикой окислителя и горючего;
- дублирование линий наддува водородного бака;
- дублирование клапанов в линиях наддува водородного и кислородного баков;
- дублирование основных клапанов в линиях заправки и слива водородного и кислородного баков аварийными клапанами;
- функционирование дренажных клапанов баков горючего и окислителя в режиме предохранительных клапанов в случае отказа управляющих им клапанов или подводящих линий;
- дублирование клапанов в линиях "вялой" и интенсивной раскрутки бустерного насоса горючего;
- дублирование клапанов "газлифта" в расходной и циркуляционной магистрали;
- дублирование клапанов, управляющих отсечными клапанами водородного бака;
- наличие двух каналов управления - пневматического и электрического - этими клапанами;
- дублирование арматуры наддува и дренажа демпфера;
- дублирование некоторых других элементов или группы элементов. Кроме того, при разработке схемы для обеспечения надежной и безопасной работы приняты следующие решения:
- разобщение отсеков и полостей кислорода и водорода;
- полное разделение гидравлических и пневматических полостей двух компонентов;
- раздельная прокладка трубопроводов окислителя и горючего в отсеках блока Я;
- раздельное исполнение пневмощитов арматуры по каждому компоненту;
- применение постоянной продувки азотом всех магистралей, подходящих к полостям, заполненным водородом;
- исключение попадания внутрь полостей посторонних частиц путем введения фильтров на входах в агрегаты по линии подачи компонентов, на стыках с наземными системами по линии газоснабжения, перед дроссельными элементами малых размеров;
- введение отсечных клапанов в магистралях подачи компонентов к агрегатам;
- автоматический сброс давления из емкостей и баллонов при прохождении аварийного выключения;
- на этапе подготовки и работы с ракетой до команды "контакт подъема" выведение дренажируемого газа из емкости горючего, а также утечек из-за негерметичности из агрегатов в наземные системы для отвода от ракеты.
Для обеспечения безопасности проведения стендовых испытаний, а также на случай прекращения пуска ракеты до команды "контакт подъема" введены дополнительные продувки камер сгорания двигателей и выдавливание остатков водорода из полостей агрегатов двигателей в емкость горючего.
В процессе подготовки и пуска ракеты на этапе подготовки пневмогидравлической системы к запуску двигателей предусматривается:
- автоматическое проведение всех операций;
- проведение контроля срабатывания отдельных узлов и прохождения процессов в целом;
- проведение визуального контроля за ходом подготовки ракеты;
- возможность многократного повторения проведения всех операций;
- остановка процесса в любой момент подготовки установки и возврат в исходное положение;
- проведение всех операций в логической последовательности, когда очередная операция начинается при наличии сигнала об успешном проведении предыдущей операции.
Работоспособность элементов конструкции ракеты типа баков, межбакового хвостового отсека, донной защиты, трубопроводов, баллонов, силовых связей обеспечивается за счет избыточности их несущей способности.
Подтверждение технических характеристик конструкции и ее доработанности осуществлялось проведением конструкторско-доводочных, статических, динамических испытаний в рамках широкой комплексной программы подтверждения надежности экспериментальной отработкой установок и макетов на стендах.
Электромеханические, электрогидравлические и механические приводы, система рулевых приводов, отказы которых могут приводить к возникновению нештатных ситуаций, повышены в жизнеспособности с помощью резервирования элементов системы. К примеру, в случае отказа одного из четырех агрегатов питания рулевых приводов одного из двигателей питания осуществляется от соседних агрегатов. Работоспособность системы, таким образом, сохраняется. В случае отказа рулевого привода одного из двигателей камеры остальных двигателей перемещаются по программе, исключающей соударение с камерами соседних двигателей.
Особенности обеспечения безопасности экипажа на различных участках полета ракеты-носителя "Энергия" и орбитального корабля "Буран" и их предпусковые подготовки:
При возникновении ситуации на этапе предпусковой подготовки безопасность обеспечивается эвакуацией в бункер через агрегат посадки и экстренной эвакуации или катапультированием экипажа на стартовой позиции. Для ликвидации и локализации пожаро-взрывоопасных ситуаций используются наземные и бортовые средства пожаро-взрывопредупреждения и пожаротушения. Решение о реализации того или иного способа спасения принимается руководителем пуска на основе заранее проведенного предполетного анализа возможных аварийных ситуаций и разработанных способов действия.
На участке выведения от момента прохождения сигнала "контакт подъема" до отделения орбитального корабля от последней ступени носителя при отказе в любой момент времени одного из двигателей безопасность обеспечивается спасением орбитального корабля с экипажем довыведением на штатную орбиту, довыведением на нештатную орбиту, полетом по одновитковой траектории, реализацией маневра возврата, экстренным отделением, катапультированием экипажа.
Первые четыре способа требуют от ракеты-носителя продолжения управляемого полета с одним отказавшим двигателем до полной выработки топлива из баков последней ступени. При возникновении отказов в орбитальном корабле, требующих его срочного возвращения, спасение орбитального корабля с экипажем осуществляется полетом по одновитковой траектории или маневром возврата. Отличительными особенностями участка являются быстротечность и необратимость аварийных процессов, а также разветвленная логика использования различных способов спасения, что требует от технических средств, особенно автоматического обеспечения, надежного функционирования в автоматическом режиме или по командам наземного комплекса управления.
Программа орбитального полета разрабатывается с учетом обеспечения безопасности экипажа при возникновении возможных рассмотренных нештатных ситуаций использования структурного и функционального резерва в системах и подсистемах, использования заранее предусмотренных запасов рабочих тел, использования резервов времени, имеющихся в штатной программе полета, обеспечения готовности орбитального корабля и наземного комплекса управления к реализации срочного и досрочного спусков, использования корабля-спасателя при исчерпании возможностей применения других способов спасения.
С целью обеспечения выхода из непредвиденных ситуаций программа полета предусматривает возможность реализации гибкого управления по подпрограмме, формируемой из частей имеющейся на борту программы с пульта экипажа или с Земли. При возникновении ситуаций, угрожающих безопасности экипажа, осуществляется экстренное возвращение орбитального корабля с орбиты с посадкой на основной или запасной аэродром.
Отличительной особенностью участка орбитального полета, с точки зрения безопасности экипажа, является разветвленная программа штатного и нештатного функционирования с многообразием разнотипных операций при ее выполнении.
При возникновении ситуаций на спуске на высотах ниже 20 км безопасность обеспечивается катапультированием. Особенность - отсутствие способов спасения экипажа в полете до высоты 20 км кроме продолжения начатого спуска в орбитальном корабле, где безопасность обеспечивается только надежностью корабля.
Посадка орбитального корабля на основной аэродром осуществляется в автоматическом или ручном режимах, а на запасной аэродром, на аэродром вынужденной посадки, на водную поверхность - только в ручном режиме.
Специальные средства спасения экипажа - скафандры, катапультируемые кресла - не дублируются. В случае необходимости осуществляется резервирование их основных элементов. При возникновении отказов в системах и агрегатах составных частей ракеты-носителя и орбитального корабля в полете, прежде всего, используются возможности внутрисистемных резервов, а после их исчерпания используется межсистемный резерв. Для обеспечения безопасности полета осуществляется в необходимом объеме эффективный контроль и диагностирование технического состояния бортовых систем и агрегатов, а также технических средств управления полетом. Для обеспечения безопасности полета двигатели ракеты-носителя и двигатели орбитального корабля оснащены средствами аварийной защиты, которые в случае возникновения предаварийного состояния указанных двигателей до наступления внешних разрушений и потери их герметичности выдают сигнал в систему управления о необходимости выключения аварийного двигателя, а система управления выключает этот двигатель. При любом случайном отказе в системе бортовых измерений или средствах контроля и диагностики обеспечивается отсутствие влияния такого отказа на функционирование систем, связанных электрическими связями с системой измерений и средствами контроля и диагностики. Каждая конкретная нештатная ситуация оценивается с точки зрения ее критичности и возможности выхода из нее с помощью экипажа и наземного комплекса управления. Если располагаемое время на устранение меньше, чем определяемое возможностью экипажа и наземного комплекса управления, то выход из этой нештатной ситуации осуществляется автоматически. Если располагаемого времени на выход из нештатной ситуации достаточно для выдачи управляющих воздействий со стороны экипажа и нет связи с Центром управления полетом, то выход из нештатной ситуации реализуется силами экипажа. Если связь с Центром управления полетом существует или если время, потребное на выход из нештатной ситуации, позволяет ожидать зоны связи, то выход из нештатной ситуации осуществляется экипажем совместно с наземным комплексом управления.
Для уменьшения вероятности реализации ошибочных или несанкционированных операций при управлении орбитальным кораблем со стороны экипажа или наземного персонала управления, приводящих к возникновению опасности для экипажа, опасности потери орбитального корабля или угрозе невыполнения программы полета, в технических средствах бортового и наземного комплексах управления предусматриваются специальные блокировки на задействование наиболее ответственных операций.
Уровень безопасности определяется совокупностью свойств комплекса и условий его функционирования, обеспечивающих нормальный запуск, полет составных частей комплекса и возвращение орбитального корабля на Землю в сохранном состоянии.
С целью обеспечения надежности и безопасности полета по трассе в конструкции ракеты и орбитального корабля реализованы два вида основных мероприятий:
- комплекс проектно-конструкторских профилактических решений,
- комплекс активных средств.
Комплекс проектно-конструкторских профилактических мероприятий является основой безопасности при полете ракеты.
Комплекс активных средств придает повышенную живучесть ракете и орбитальному кораблю в нештатных ситуациях.
Проектом предусмотрено обеспечение герметичности топливных систем применением сварных стыков трубопроводов, арматуры элементов, работающих в среде водорода и кислорода и их паров, введение автоматической сварки на магистралях.
Кроме мер безопасности, предусмотренных для пневмогидравлической системы, на ракете предусмотрены мероприятия, исключающие источники инициирования возгорания:
- организованный отвод паров водорода из баков в наземную систему через специальные дренажные трубопроводы;
- организованное дренирование и балластировка утечек водорода инертным газом - гелием;
- дожигание выбросов не прореагировавшего водорода при запуске двигателей с помощью специальной системы дожигания;
- профилактическая продувка блоков Ц и Я азотом.
На ракете применены конструктивные меры по ограничению температуры нагрева поверхности элементов конструкции внутри отсеков не более 150 градусов. Электрооборудование выполнено во взрывозащищенном исполнении.
Защита ракеты от статического и атмосферного электричества обеспечивается металлизацией и заземлением ракеты в целом и ее составных частей и системой молниеприемников. Использованы негорючие самозатухающие материалы.
На ракете-носителе в качестве активных мероприятий задействованы:
- система пожаро-взрывопредупреждения с пожарными извещателями, расположенными в двигательном отсеке;
- специальная система продувки азотом - профилактическая с расходом 0,56 кг/с и интенсивная с расходом 1,34 кг/с- с целью нейтрализации отсеков;
- система аварийной продувки азотом в двух режимах от 15 до 30 кг/с;
- система подачи фреона в двигательный отсек в двух режимах;
- бортовой азот с избирательной подачей;
- система дожигания выбросов не прореагировавшего водорода со своей системой управления.
Блок Я продувается азотом в профилактическом режиме. Активные средства придают ракете повышенную живучесть в нештатных ситуациях, связанных со случайными нарушениями герметичности конструкции.
По результатам анализа нештатных ситуаций при предстартовой подготовке, связанных с выбросом винила, предусмотрено дополнительно использовать наземную систему пожаротушения с суммарным расходом воды 160 л/с через три лафетных ствола для охлаждения и отсечки пламени от ракеты в случае возникновения внешнего пожара.
В целях обеспечения пожаро-взрывобезопасности на орбитальном корабле реализованы мероприятия аналогичного характера.
Установлено, что для такой сложной ракетно-космической транспортной системы, как ⌠Энергия■-⌠Буран■, отношения вероятностей возникновения аварий на участках выведения, спуска и посадки оцениваются как 8:1:1 даже при выполнении требований к надежности входящих в систему элементов. Материалы анализа показывают необходимость параллельного решения задач по всему фронту проблем безопасности. Прежде всего это относится к ракете-носителю, как отстающему в этом плане звену.
Основным показателем ракеты-носителя является не какая-либо ее техническая характеристика или стоимость, а степень надежности, поскольку без надежности запуск ракеты с коммерческой нагрузкой превращается просто в игру случая.
Но самолеты падают, теплоходы сталкиваются, поезда сходят с рельсов, газопроводы взрываются, пожары вспыхивают. И нет за этим никакого божественного провидения. Специалисты комиссий каждый раз обнаруживают, что в основе аварий лежали вполне земные причины: отказы техники, ошибочные действия людей, непредусмотренные посторонние влияния - так откликалась пресса на "безопасность прогресса".
Создать сложную машину, которая работала бы абсолютно без отказов, невозможно. Требуют гарантии, но никто такой гарантии не даст, потому что такой гарантии не может быть ни в ядерной, ни в ракетной, ни в какой-либо другой технологии. Принимаемые меры повышения безопасности направлены на то, чтобы снизить вероятность аварий до возможно меньшей величины.
Как отмечалось в журнале "Спейс" в сентябре 1985 г., в конечном счете по мере увеличения количества полетов возникает вероятность возникновения аварийной ситуации. Если это произойдет, имеется надежда, как говорится в публикации, что американский народ, а также политики и промышленники будут достаточно подготовлены к осознанию неизбежности этого факта и не позволят оказать серьезное влияние на технический прогресс. Тем более, что программа космических полетов проводится на глазах у всего мира, любая аварийная ситуация имеет драматический характер.
К сожалению, мы не всегда умеем доходчиво передать свою убежденность, что вероятность аварийных ситуаций чрезвычайно мала.