6. Considerazioni di un fisico famoso sul disastro della Challenger

Riproduciamo alcuni passi delle osservazioni personali che il fisico Richard Feynman inviò alla commissione governativa sul disastro del 1986 in cui morirono sette membri dell'equipaggio. Questa critica proveniente dall'interno del mondo scientifico dà l'idea precisa di quale meccanismo si instauri fra la realtà e la fantasia quando l'interesse e la propaganda prendano il sopravvento sulla razionalità. Particolarmente interessante è la critica al metodo utilizzato nella ricerca, cioè la reiterazione dei calcoli dopo aver agito sulle variabili al fine di ottenere la risposta sperata, in linea con l'esperienza empirica. Il monito finale dello scomparso scienziato vale anche per molti militanti che nel passato cedettero di fronte alle lusinghe della tecnologia.

Sembra vi siano enormi differenze di opinione intorno alla probabilità di un guasto con la perdita del veicolo e di vite umane. Le stime variano fra un rozzo 1 su 100 fino a 1 su 100.000. Il dato più alto proviene dagli ingegneri impegnati nel lavoro, mentre il dato eccezionalmente basso proviene dal management. Quali sono le cause e le conseguenze di questo divario di stima? Dato che 1 parte su 100.000 implicherebbe la possibilità di lanciare una Shuttle al giorno per 300 anni col rischio di perderne soltanto una, più propriamente dovremmo chiederci: "Qual è la causa della fantastica fede del management nel macchinario?"

[...] Una stima sull'affidabilità dei razzi a propellente solido fu approntata dai funzionari addetti al ventaglio di probabilità per la sicurezza studiando l'esperienza di tutti i lanci precedenti. Su di un totale di quasi 2.900 lanci, 121 fallirono (1 su 25). Questa stima include, possiamo immaginare, errori di progetto, razzi che venivano lanciati per la prima volta in cerca di errori per il loro superamento. Un più ragionevole dato per i razzi maturi potrebbe essere di 1 su 50. Con una speciale cura nella selezione delle parti e nel controllo, il dato può scendere a 1 su 100, ma raggiungere 1 su 1.000 non è probabilisticamente possibile con le tecnologie di oggi. Siccome ci sono due razzi a carburante solido su ogni Shuttle, le probabilità di errore a causa di questi vanno raddoppiate.

[...] Se è vero che la probabilità di guasto è così bassa, cioè 1 su 100.000, ci dovrebbe essere stato un certo numero di test per determinarla (e non sarebbe stato altro che una sequenza di lanci perfetti da cui non si potrebbero trarre dati sicuri per la sequenza prossima). Ma se la probabilità reale non è così piccola, i lanci mostreranno problemi, avvisaglie di guasti e guasti veri e propri con un ragionevole numero di prove, per cui il metodo statistico standard potrà dare una ragionevole stima. In effetti, come ha mostrato l'esperienza precedente della NASA, le difficoltà e gli incidenti erano tutt'altro che poco numerosi. L'inconsistenza dell'argomento basato sulla determinazione dell'affidabilità attraverso la sperimentazione storica è dimostrata proprio dall'appello alla storia, come disse un funzionario della NASA addetto alla sicurezza: "Storicamente, questo alto grado di successo delle missioni..."

[...] E' evidente che per qualche scopo, sia esso ad uso interno od esterno, il management della NASA ha esagerato l'affidabilità dei suoi prodotti fino a raggiungere la pura fantasia.

[...] L'accoglienza favorevole e il successo dei lanci precedenti sono stati interpretati come evidenza di sicurezza. Ma l'erosione delle guarnizioni e l'espansione esterna dei gas non erano previste dal progetto. Essi furono allarmi per qualcosa che non andava. Le forniture non avevano le prestazioni che ci si aspettava, ed è sempre un pericolo quando le si mette in condizione di operare in condizioni sconosciute. Il fatto che questo pericolo non abbia condotto ad una catastrofe in tempi più brevi non poteva essere garanzia per affermare che la catastrofe non ci sarebbe stata dopo, se non se ne era capita la natura. Quando si gioca alla Roulette Russa, il fatto che il primo colpo vada a vuoto è di ben poco conforto per il secondo.

[...] Fu approntato un modello matematico per calcolare l'erosione. Era un modello basato sull'approntamento di curve empiriche invece che sulla comprensione della fisica. Per determinare quanta gomma fosse erosa, si suppose che ciò dipendesse solo dal calore e per di più tramite una formula dedotta dai dati forniti da un materiale analogo. [La simulazione portò a risultati accettabili dall'operatore e in linea con quanto ci si aspettava dall'esperienza]. Reiterando la prova, mettendo a punto qualche altro numero, si stabilì che il modello coincideva con i dati empirici dell'erosione. Non c'è niente di più sbagliato di questa fiducia nelle risposte cercate! L'incertezza appariva dovunque. Non si poteva prevedere quanto forte fosse l'azione dei gas, perché essa dipendeva dai fori prodotti nella guarnizione. [Si sapeva che la formula empirica era indeterminata, dato che era stata ricavata non dai dati reali ma da una simulazione ibrida]. Infatti una nube di punti si presentò due volte sopra e due volte sotto la curva virtuale, così l'erosione due volte predetta fu ragionevolmente accettata come causa unica. A tali incertezze se ne accompagnavano altre analoghe nelle costanti della formula ecc. ecc. Quando si usa un modello matematico bisogna fare molta attenzione, si devono implementare le incertezze nel modello stesso.

[...] Le debolezze che contribuirono all'incidente erano limitate al settore dei razzi a combustibile solido o erano una generale caratteristica della NASA? Sta di fatto che i motori principali della navetta e l'avionica furono entrambi sottoposti ad indagine, mentre un simile studio non fu condotto sulla struttura generale della Shuttle e sul vettore di lancio esterno.

[...] [La via normale per i collaudi negli aerei civili e militari è quella di verificare ogni singolo componente prima del montaggio e a partire dalla qualità delle materie prime o dei semilavorati. In questo modo si isolano a monte i difetti e si procede alla loro eliminazione. Infine si procede al montaggio dell'insieme e al collaudo generale per sollecitazioni di ogni genere nelle fasi stabilite]. Nessuna di queste condizioni fu applicata ai motori principali della Shuttle. Il gruppo principale di spinta fu gestito in una maniera differente, dall'alto al basso, per quanto possiamo vedere. Il motore fu progettato e assemblato tutto in una volta, con studi preliminari su materiali e componenti relativamente poco dettagliati. Così, quando i cuscinetti, le lame delle turbine, i tubi di raffreddamento ecc. diedero dei problemi, fu molto difficile e costoso scoprire le cause e fare le modifiche.

[...] Utilizzare il motore completo come supporto per le prove dei componenti singoli è estremamente costoso. C'è da aspettarsi di perdere l'intero motore per scoprire dove e come capitano i guasti.

[...] L'intento del progetto di ottenere una vita dei motori equivalente a 55 missioni è stata disattesa. Essi richiedono per il momento una frequentissima manutenzione e la sostituzione di parti importanti come turbopompe, cuscinetti, ecc. ogni tre o quattro missioni equivalenti, mentre altre parti, come la turbopompa ad alta pressione per l'ossigeno, ogni cinque o sei. Ciò equivale a circa il 10 per cento delle prestazioni rispetto alle specifiche originali.

[...] In 250.000 secondi di funzionamento totale, i motori si sono guastati 16 volte, 13 nei primi 125.000 secondi, e solo 3 nei 125.000 successivi.

[...] Vi è dunque una probabilità di guasto di 1 su 500 per motore per missione. Ma in una missione ci sono tre motori, anche se alcuni incidenti possono essere ulteriormente contenuti, possono capitare solo a un motore per volta e il sistema può abortire la missione salvandosi con due soli motori. Lasciateci comunque dire che, anche senza sorprese sconosciute, non si può supporre che per la Shuttle la probabilità di fallimento della missione, dovuto ai motori principali, sia meno di 1 su 500, anche se il costruttore la stima intorno a 1 su 10.000, gli ingegneri dell'ufficiale giudiziario a 1 su 300, il management della NASA 1 su 100.000 e un ingegnere indipendente 1 o 2 su 100.

[…] Avionica. L'affidabilità dell'elettronica di bordo è assicurata tramite quattro identici sistemi computerizzati. Dove possibile, anche ogni sensore ha copie multiple, normalmente quattro, ed ogni copia fa riferimento a tutte e quattro le linee di computer. Vi è inoltre un quinto computer indipendente la cui memoria è caricata soltanto con i programmi di ascesa e discesa e che è in grado di controllare la discesa se c'è un guasto su più di due della linea principale di quattro. Non c'è abbastanza spazio nella memoria della linea principale di computer per i programmi di ascesa, discesa e gestione dei carichi paganti in orbita, così le memorie sono caricate dagli astronauti per quattro volte tramite nastri magnetici.

A causa dell'enorme sforzo richiesto per rimpiazzare il software di un simile sofisticato sistema, e ricontrollarlo su nuovi sistemi, nessun cambiamento è stato apportato sull'hardware da quando il sistema è nato, circa quindici anni fa. L'attuale hardware è obsoleto; per esempio, le memorie sono quelle del tipo a nuclei di ferrite. Sta diventando molto difficile trovare dei produttori che forniscano simili antiquati computer, affidabili e di alta qualità.

[...] Il sistema di controllo e di prova del software è della qualità più alta. Sembra non ci siano in corso processi per ingannare gradualmente sé stessi degradando gli standard, cosa così caratteristica nel caso dei sistemi di sicurezza per i razzi a combustibile solido e dei motori principali. Ma ci sono stati recenti suggerimenti da parte del management di tagliare questo elaborato e costoso sistema di controllo che non sarebbe più necessario a questo punto della lunga storia della Shuttle.

[...] Le modifiche sono costose perché richiedono estesi controlli. La via corretta per risparmiare denaro è tagliare sul numero delle modifiche proposte dagli utenti, non sulla qualità dei controlli ad ognuna di esse.

[... Se il programma di lanci attuale è mantenuto] l'ingegnerizzazione dei sistemi spesso non può essere ottenuta abbastanza in fretta con i criteri originali di certificazione per garantire un veicolo veramente sicuro. In questa situazione, in modo molto sottile, e spesso con argomenti apparentemente logici, i criteri sono alterati in modo da certificare in tempo i lanci. Perciò essi avvengono in condizioni relativamente insicure, con una possibilità di guasto nell'ordine dell'1 per cento. D'altra parte, il management pretende di credere che la probabilità di guasto sia un migliaio di volte più bassa. Una delle ragioni di ciò potrebbe essere un tentativo di assicurare il governo sulla perfezione e sul successo della NASA per assicurarsi i fondi.

[...] Lasciateci fare alcune raccomandazioni affinché i funzionari della NASA siano partecipi di un mondo reale in cui la comprensione delle debolezze e delle imperfezioni tecnologiche sia sufficiente per tentare di eliminarle. Essi devono vivere nella realtà, comparando costi e benefici della Shuttle con altri metodi per andare nello spazio.

[...] Per una tecnologia di successo, la realtà deve avere precedenza sulle pubbliche relazioni, dato che la natura non può essere ingannata.

Da: "Personal observations on the reliability of the Shuttle", by Richard P. Feynman, in Report of the Presidential Commission on the Space Shuttle Challenger Accident, volume II, F5.

Quaderni di n+1: Scienza e rivoluzione