9. Dezember 2007

Warum wurde der Shuttle-Flug verschoben? Über Sicherheitstechnik und Sicherheitsphilosophie

Nehmen wir an, ein Rally- Fahrer stellt kurz vor dem Start fest, daß die Anzeige seiner Tankfüllung nicht korrekt funktioniert. Würde er daraufhin den Start abblasen? Wohl kaum.

Etwas Derartiges hat aber die NASA nun schon dreimal getan, als sie den für vergangenen Donnerstag vorgesehenen Start des Shuttle "Atlantis" mit dem europäischen Raumlabor "Columbus" an Bord gestoppt und erst auf Freitag, dann auf Samstag und jetzt auf den heutigen Sonntag (geplanter Start: 3:21 PM EST; entsprechend 21:21 MEZ) verschoben hat.

Der Grund für diese wiederholten Startverschiebungen ist der Ausfall von zwei Sensoren, die die Füllung der Flüssiggas- Tanks für Wasserstoff und Sauerstoff anzeigen.

Warum deshalb gleich eine wiederholte Verschiebung des Starts? Kann man denn nicht auch ohne Sensoren berechnen, wieviel Treibstoff jeweils noch im Tank ist? Warum ist es überhaupt so wichtig, den jeweiligen momentanen Füllstand zu kennen?

Als ich diesen Fragen nachgegangen bin,habe ich Allerlei über Sicherheitstechnik und Sicherheitsphilosophie gelernt, das auch über den jetzigen Fall hinaus interessant ist.



Das Shuttle wird durch drei Raketenmotoren beschleunigt, die ihre Treibstoffe aus dem riesigen rostbraunen Tank beziehen, der seitlich am Shuttle aufgehängt ist. (Man könnte angesichts der Größenverhältnisse auch sagen: An dem das Shuttle aufgehängt ist). Das obere Drittel ist der Sauerstofftank, die unteren beiden Drittel enthalten den Wasserstoff. Beide sind so weit heruntergekühlt, daß sie sich im flüssigen Zustand befinden.

In der Startphase wird zusätzlicher Schub durch die beiden Feststoffraketen (Boosters) geliefert, die rechts und links neben diesem Tank angebracht sind.

Der Brennvorgang dieser Feststoffraketen ist nicht steuerbar. Sie brennen ab wie Sylvester- Raketen. In den Orbit gesteuert wird das Shuttle mit Hilfe der Raketen- Motoren, die noch weiterarbeiten, wenn die beiden Feststoffraketen bereits ausgebrannt und abgeworfen sind.

Eine kritische Rolle spielt dabei der Brennschluß, also der Zeitpunkt, zu dem diese Raketen- Motoren abgeschaltet werden.

Er entscheidet über die Geschwindigkeit, mit der das Shuttle in den Orbit eintritt und damit wesentlich über die Bahndaten. Für jeden einzelnen Flug des Shuttle wird der Brennschluß individuell festgelegt.

Wie wird nun dafür gesorgt, daß der Brennschluß zum richtigen Zeitpunkt erfolgt? Mit der Antwort auf diese Frage nähern wir uns, wie Mark Kirkman in einem ausgezeichneten Artikel in den Interspace News erklärt, der kritischen Rolle der Tank- Sensoren.

Sie heißen mit Namen ECOs (Low Level Engine Cutoff sensors). Und damit ist schon angedeutet, warum sie so wichtig sind: Sie haben etwas mit dem Brennschluß (engine cutoff) zu tun; und sie sollen einen low level melden, also einen (zu) niedrigen Füllstand.

Der Brennschluß erfolgt nicht, wenn das Shuttle eine bestimmte Höhe erreicht hat, auch nicht nach einer bestimmten Zeit ab dem Start. Sondern er wird dadurch definiert, daß das Shuttle die für den betreffenden Flug festgelegte Geschwindigkeit erreicht hat. Diese ermittelt ein Bordcomputer, der dann automatisch die Raketen- Motoren abschaltet.

Und nun kommt das im jetzigen Zusammenhang Entscheidende:

Der Brennschluß muß stattfinden, bevor die Tanks für Sauerstoff und Wasserstoff leer sind.

Denn die Turbinen würden sich, wenn kein Treibstoff mehr vorhanden wäre, so schnell drehen, daß sie heißlaufen und möglicherweise auseinanderfliegen könnten. Wäre der Wasserstoffvorrat erschöpft, aber noch Sauerstoff da, dann könnte das außerdem eine Explosion auslösen.



Wir verstehen jetzt, warum es so wichtig, ja lebenswichtig ist, den Füllstand des Sauerstoff- und des Wasserstofftanks ständig zu überprüfen. Es muß sichergestellt sein, daß keiner der beiden Tanks leer wird, solange sie noch mit dem Shuttle verbunden sind.

Das geschieht primär dadurch, daß ein Bordcomputer fortlaufend ermittelt, wieviel Treibstoff verbraucht wurde und ob also noch ein genügender Rest (performance margin) vorhanden ist.

Nun kann es aber passieren, daß durch ein Leck oder durch den Ausfall von Raketen- Motoren Treibstoff verlorengeht.

Dann stimmt diese Berechnung nicht mehr. Es könnte dann der Fall eintreten, daß einer der Tanks oder beide leer werden, bevor der Brennschluß erfolgt.

Und um das zu verhindern, gibt es diese Sensoren in den Tanks, die ECOs.

Im Prinzip sind es nichts anderes als Drähte, durch die Strom einer konstanten Stromstärke fließt. Je nachdem, ob sie sich in einer Flüssigkeit oder einem Gas befinden, ist der elektrische Widerstand verschieden und damit die Spannung. Diese wird fortlaufend gemessen und zeigt an, ob der Zustand "nass" oder "trocken" besteht.

Melden diese Sensoren "trocken" (ein Zustand, der eigentlich nicht eintreten dürfte, weil es ja immer noch Treibstoff in den Tanks geben sollte), dann schaltet der Computer die Triebwerke ab, und es wird eine transatlantische Notlandung (TAL) eingeleitet; also der Versuch, das Shuttle wieder zur Erde zurückzubringen, bevor es Orbital- Geschwindigkeit erreicht hat.



Der Funktionsfähigkeit der ECO-Sensoren kommt also eine zentrale Bedeutung zu:

Versagen sie und melden nicht den Zustand "trocken", obwohl ein Tank leer ist, dann kann es zum Verlust des Shuttle kommen.

Versagen sie andererseits und zeigen fälschlich den Zustand "trocken" an, dann könnte das zu einem Abbruch des Flugs führen, obwohl in Wahrheit alles in Ordnung ist.

Gegen einen solchen Fall gibt es zwar gewisse Vorkehrungen (zum Beispiel werden die Sensoren erst "scharf gemacht", wenn das Shuttle eine bestimmte kritische Masse erreicht hat; es sei denn, Raketenmotoren sind ausgefallen). Aber es bleibt doch das Risiko, daß just dieses zur Sicherheit eingebaute System selbst die Sicherheit gefährden könnte.

Und das ist vielleicht der interessanteste Aspekt dieses Themas: Jede Vorrichtung, die der Sicherheit dient, stellt selbst ein Sicherheitsrisiko dar.

Das - und damit sind wir von der Sicherheits- Technik zur Sicherheits- Philosophie gelangt - gilt für alle komplexen Systeme. "The logic behind the ECO sensor system’s operation is based on risk tradeoffs", die Logik hinter dem System der ECO- Sensoren basiere auf der Aufrechnung von Risiken, schreibt Kirkman.

"So viele Sicherheitssysteme wie möglich" ist deshalb eine ganz und gar falsche Sicherheits- Philosophie. Die Sicherheit ist umso größer, nicht je mehr solche Systeme es gibt, sondern je mehr ihr potentieller Nutzen den Schaden überwiegt, den sie anrichten können.

Ist man zu sehr auf Sicherheit bedacht, dann kann das leicht mehr Schaden als Nutzen mit sich bringen. Eine Einsicht, so scheint mir, die über den Bereich der Hochtechnologie hinaus von Bedeutung ist.

In Ernst Augustins Sammlung von Erzählungen "Der Künzler am Werk. Eine Menagerie" gibt es die Geschichte von einem Mann, der ein Sicherheits- Fanatiker war. Er ließ sein Haus auf alle denkbaren Arten gegen unbefugtes Eindringen sichern - Verriegelungen, Spezialfenster- und Türen, Spezialschlösser und dergleichen.

Als alles fertig war, trat er vor die Tür, um das Werk zu bewundern. Da fiel die Tür in Schloß. Die Schlüssel hatte er drin gelassen. Kein Schlüsseldienst konnte ihm helfen, wieder in sein Haus zu kommen. Der Mann zog ins Hotel.

Für Kommentare und Diskussionen zu diesem Beitrag ist in "Zettels kleinem Zimmer" ein Thread eingerichtet. Wie man sich dort registriert, ist hier zu lesen. Registrierte Teilnehmer können Beiträge schreiben, die sofort automatisch freigeschaltet werden.