NASA vil bare tolerere så mye fare

En undersøkelse av hva som egentlig gikk galt med Boeings siste romfart viste alvorlige problemer.

Bill Ingalls / NASA

Mye gikk rett under et nylig forsøk på å nå den internasjonale romstasjonen. Mye gikk galt også.



Raketten ble skutt opp like før soloppgang en kjølig dag i slutten av desember, og kuttet en gullstripe over himmelen i Cape Canaveral i Florida. Kapselen den bar, som ble designet og bygget for NASA av Boeing, ble jevnt levert forbi kanten av verdensrommet. Hvis testen hadde gått uten problemer, neste gang dette romfartøyet fløy, ville det ha hatt astronauter inne. Kapselen skulle være i verdensrommet i en uke og dokke til ISS. Men to dager senere var kapselen tilbake på jorden med fallskjermene strødd over New Mexico-ørkenen. Den var sunn og i ett stykke, men lasten ble ikke levert, og oppdraget ble avbrutt.

Nå sier NASA at oppdraget kunne gått enda verre.

En undersøkelse av det sammenslåtte oppdraget har avdekket flere problemer enn både tjenestemenn og ingeniører forventet å finne. Feilene stammer ikke fra maskinvare, men fra flyprogramvaren kodet av Boeing-ingeniører. Kapselen, kjent som Starliner, viste seg å være farligere enn noen var klar over.

Vi vet ikke hvor mange programvarefeil vi har, sa Doug Loverro, NASAs assisterende administrator for menneskelig utforskning og operasjoner, til journalister fredag. Vi vet ikke om vi bare har to eller om vi har mange hundre.

Oppskytingen var en viktig test i NASAs plan om å skyte opp sine egne astronauter fra amerikansk jord for første gang siden romfergene sluttet å fly i 2011. Mens to amerikanske selskaper, Boeing og SpaceX, utvikler nye romfartøyer, har NASA-astronautene hengt opp noen svært dyre turer sammen med kosmonauter på Russlands Sojus-system. Før disse to selskapene kan fly folk, må de imidlertid bevise kotelettene sine under en ubemannet reise til ISS. SpaceX fløy et lignende – og vellykket – oppdrag i fjor vår. (Den fikk et betydelig tilbakeslag en måned senere da kapselen eksploderte under testing på bakken, men den har siden slo seg tilbake og en ny kan løfte seg fra Cape Canaveral – med astronauter – senere i år .)

Timing er alt, spesielt i romfart, og det var der Boeings Starliner først hadde problemer. Takket være en programvarefeil, Starliner feil innstilt den interne klokken timer før den ble skutt opp, noe som betydde at etter at den skilt seg fra raketten og nådde verdensrommet, bommet kapselen øyeblikket den trengte å skyte noen thrustere og presse seg selv inn i rett bane. I en grusom vri mistet oppdragskontrollen kontakten med Starliner akkurat da på grunn av forstyrrelser fra radiostøy på jorden, muligens fra mobiltelefontårn. Da ingeniørene kunne kommandere Starliner igjen, hadde kapselen, desorientert og på tomgang, brukt opp for mye drivstoff til å fullføre klatringen mot ISS.

Uten annet valg enn å returnere Starliner hjem, begynte Boeings ingeniører å finkjemme programvaren og fant et annet problem. Før Starliner begynner sin siste nedstigning til jorden, må den kaste en servicemodul som hjalp til med å dytte den mot atmosfæren. Men slik programvaresekvensen ble satt opp, ville ikke thrusterne på denne modulen ha utløst riktig. En steinete separasjon kunne ha destabilisert Starliner, og fått den til å falle. De to romfartøyene kunne til og med ha støtet på hverandre, i så fall kunne sammenstøtet ha skadet varmeskjoldet. Starliner trenger det skjoldet for å overleve den brennende dråpen ved å komme tilbake, med astronauter om bord eller ikke.

Det er vanskelig å si hvor servicemodulen ville ha støtt, men ingenting godt kan komme fra de to romfartøyene som støter, fortalte Jim Chilton, senior visepresident for Boeings rom- og oppskytningsavdeling.

Boeing-ingeniører omskrev programvaren og sendte den nye versjonen til Starliner knappe tre timer før kapselen traff ned i New Mexico. Hvis de ikke hadde grepet inn, sier NASA, kunne Starliner ha gått tapt.

Det er umulig å si hva som ville skjedd under dette oppdraget hvis folk hadde vært om bord. Boeing-tjenestemenn har sagt at astronauter som står overfor et lignende klokkeproblem kunne ha tatt kontroll over Starliner og ledet den til riktig bane. Det er mindre klart hva de kunne ha gjort for å håndtere den potensielle trusselen om en krasj.

NASA har begynt å undersøke hva som skjer inne i Starliners team, og så langt er funnene ikke gode. Romfartsorganisasjonen sier de har avdekket feil ved nesten hver fase av Starliners utvikling, fra design og koding til testing og verifisering. Programvarefeil i kode som er så komplisert som dette er ikke uventet, sier NASA, men det var mange tilfeller før flyturen da Boeing burde ha fanget dem. Chilton sa at programvareoppdateringen for reentry-problemet, for eksempel, krevde en enkel løsning. Litt ekstra oppmerksomhet før lansering kunne ha unngått problemet helt.

Det er uten tvil å foretrekke å regne med potensielt farlige feil etter en test enn etter en tragedie. Men omfanget av problemene er forvirrende, og NASA virker godt klar over det nå. Vårt NASA-tilsyn var utilstrekkelig, sa Loverro. Det er åpenbart, og vi erkjenner det.

NASA har alltid vært avhengig av entreprenører for å levere maskinvare til programmene sine, fra Apollo til romfergene, men byrået har aldri vært avhengig av dem på denne måten før. Boeing og SpaceX er ansvarlige for å designe nesten hver eneste del av det nye fartøyet, fra fremdriftssystemer til det estetiske utseendet til setene. Astronauter som er tildelt SpaceX-kapselen trener ikke engang ved det berømte Johnson Space Center i Houston, men jobber i stedet ved SpaceXs hovedkvarter i California.

NASA er ansvarlig for å sette sikkerhetskrav og vil til slutt avgjøre om og når systemene er astronautklare. Ordningen bekymrer George Abbey, den tidligere direktøren for Johnson Space Center, som begynte i NASA som ingeniør i 1964 og fortsatte med å velge og trene astronauter under skyttelprogrammet. [Astronauter] skulle fly fordi de hadde tillit til NASA-ledelsen – at de ville ta seg av alle problemene og problemene. Så da ledelsen fortalte dem at de var klare til å fly, hadde de den selvtilliten, fortalte Abbey. Med mangelen på det tilsynet, er jeg ikke sikker på at NASA virkelig kan forsikre dem om at de er klare til å fly.

NASA-tjenestemenn sier at det er for tidlig å si om byrået vil kreve enda en ubemannet oppskyting fra Boeing før astronauter får lov til å fly i selskapets nye kapsel. NASA vil nå gjennomføre en ny gjennomgang av Boeings arbeidsplasskultur, basert på intervjuer med personell som spenner fra toppledere til teknikere. Denne avgjørelsen, sa Loverro, var delvis påvirket av nyhetsrapporter om andre deler av Boeing – en ikke så subtil hentydning til Boeings høyprofilerte programvareproblemer med 737 Max-flyet som førte til to krasj og 346 menneskers død. Ingeniører i Boeing, det kom til slutt ut , visste om problemer med flyets sikkerhet måneder før den første ulykken. Det var vanskelig å ikke tenke på dette da Jim Bridenstine, NASA-administratoren, temmelig skarpt fortalte journalister at han har rådet sine senior NASA-ledere i dette programmet til aldri, aldri, noen gang å være redd for sannheten.