写在“挑战者号”航天飞机事故四十周年

Posted bysolarflyerPosted inArticlesTags:, , , , , ,

写这篇小文的今天(1月28日)突然格外冷,前一天还是20多度高温, 紧接着一天之内就降到了接近0度。前一天空调还是制冷模式,第二天却设置同样的温度换成制热模式。这样的气温骤降,甚至更冷的情况历史上也发生过一次。那是四十年前的同一天,1986年1月28日。前一天晚上温暖的佛罗里达中部卡纳维拉尔角航天中心录得最低只有零下8度,而第二天正是“挑战者号”航天飞机发射的日子。接近中午发射时温度也不超过零上2摄氏度。

在这样的一个特殊的日子,纪念和回望整整四十年前的“挑战者号”航天飞机事故,不仅是对逝者的缅怀和纪念,也是对四十年来航空航天安全领域的一次回顾。四十年后,如果只停留在“这是一次技术故障”或者“安全很重要”,其实是浪费了这场惨痛的遗产,围绕着挑战者号,后来发展出一整套影响深远的安全理论和方法论,直接改变了航空航天乃至医疗等高风险行业的底层根基。

四十年前的那天发生了什么?

这场事故无需多言,对很多人来说甚至如数家珍。1986年1月28日上午 11 点 38 分,挑战者号从佛罗里达州肯尼迪航天中心发射升空。起飞的前几十秒里,一切似乎都“正常”:推进器推力充足,姿态稳定,地面控制室的指令语气平静。73 秒时,航天飞机在离地46000英尺(14000米)高度解体,监控画面里火焰和碎片突然在云中绽开,航天飞机失去信号,碎片坠入大西洋。机上七名宇航员全部遇难。

那是美国第一次在飞行中损失航天器的事故,更特殊的是:由于“教师上太空”计划,大量学校组织学生观看电视直播,这场灾难在孩子眼前实时发生,成为一代人的共同记忆。

问题根源

总统委员会(即“罗杰斯委员会”)给出的结论很明确:直接原因,是右侧固体火箭助推器尾部一处连接缝的密封失效。连接缝里两个 O 形橡胶密封圈,本来应该在发动机点火时被压紧,堵住高温燃气。前一晚和清晨的低温让密封圈变硬、回弹变慢(即橡胶的脆化),在接缝变形时没有及时贴合,于是热气从缝隙中喷出,烧蚀邻近的外接燃料箱结构,最终燃料箱爆炸导致航天飞机在气动载荷下迅速解体。

从工程角度看,这是一个对多种因素过度敏感的设计:温度变化、金属件的几何变形、密封材料性能、装配公差、重复使用后的磨损……凡此种种任何一环稍有偏差,安全裕度就消失了。罗杰斯委员会直接把这一点写进报告:这不是一颗“完美但偶然失败”的零件,而是一套在设计上就太容易被现实条件击穿的密封方案。

更令人不安的是,O 形密封圈在此前多次任务中已经出现过侵蚀甚至烧蚀,只是运气一直站在我们这边——热气没有进一步突破第二道防线,没有在上一次或上上一次发射时造成灾难。

但更深层的原因是组织文化和决策流程的缺陷

  • 工程担忧被管理层忽视:莫顿·蒂奥科尔公司的工程师强烈建议推迟发射,但在管理层压力下最终妥协
  • 发射压力:此前已多次推迟发射,NASA面临政治和公众压力
  • 偏差常态化:之前的任务中O型圈曾出现烧蚀现象,但因未造成事故而被视为”可接受的风险”
  • 沟通障碍:技术信息在组织层级间传递时失真,决策者未能充分理解风险

四十年来我们学到了什么

站在2026年回看1986年,会发现这一场事故直接或间接催生出了太多现在我们已经习以为常的安全理念,安全观念,以及安全分析方法。

学会了分析事故:著名的“瑞士奶酪模型”

挑战者号事故发生,大众舆论第一反应还是传统思路:是不是某个工程师漏看了数据?某个主管顶着压力仓促上马发射?但罗杰斯委员会的调查很快发现,问题远比“某个人犯错”复杂。O 形密封圈设计本身脆弱,低温性能缺乏验证;危险已经反复出现,却一次次“上次也这样但没事”,安全观念在一次次侥幸飞行中被弱化。

这个案例,后来被英国心理学家 James Reason 拿来当典型,发展出著名的“组织事故”和“瑞士奶酪模型”(Reason’s Swiss Cheese Model)。真正的大事故,往往不是一两个基层错误,而是多层防护同时存在“漏洞”,等着在某个时刻一条不幸的轨迹贯穿这些漏洞。

Reason 把这些“漏洞”分成四类:

  • 组织层面的影响(比如文化、资源、目标冲突);
  • 监督与指挥的失当;
  • 不安全行为的前提条件(环境、疲劳、团队氛围、压力);
  • 最终暴露出来的不安全行为本身。

学会识别“偏差常态化”或“习以为常的犯错”

挑战者号事故十年后,社会学家 Diane Vaughan 出版了影响巨大的《The Challenger Launch Decision》,系统梳理了发射前多年 NASA 在 O 形密封圈问题上的决策过程。她提出了一个概念,今天在航空安全圈已经烂熟于心:Normalization of Deviance(偏差常态化)

当一个组织一次又一次在“不完全符合标准”的情况下完成任务,大家慢慢就把这种侥幸当成“新常态”,直到有一天灾难爆发。

Vaughan 的成果不仅解释了之前 NASA 发生了什么,更重要的是,她给这种现象命了名、讲清了机制,让航空、医疗、核电等行业有了一个可以反复套用的分析框架。今天,就连NASA 自己的安全简报里,都在用“Normalization of Deviance”警示:不要因为“以前这样做没事”就放松警惕。

学会分析人的因素:人因分析与分类系统(HFACS)

上世纪九十年代开始,美军海军航空兵委托 Wiegmann 和 Shappell 开发了一套人因分类系统,即后来非常有名的 HFACS(Human Factors Analysis and Classification System,人因分析与分类系统)。这套系统基于之前Reason的“瑞士奶酪模型”,将人的因素系统化地分析和分类了出来,不仅可以讲清错在哪里,还可以讲清为什么错,甚至还能分析出哪些做对了。

如果把挑战者号放进 HFACS,很容易就能把那一连串熟悉的标签挂上去:

  • 决策违规(在极端低温下仍选择发射);
  • 环境与心理压力(进度压力、“着急发射”);
  • 监督层未能据实上报风险;
  • 组织文化纵容“带伤运行”。

学会了系统安全观:安全管理系统(Safety Management System,SMS)

从上世纪九十年代开始 ,ICAO 就在逐步推动把安全管理从“事后事故调查”前移到“事前主动识别和管控风险”。2013 年,ICAO 正式发布附件19《Safety Management》,把 安全管理系统(Safety Management System,SMS) 作为全球统一标准写进附件。安全管理系统有四大要素(支柱)——政策与目标、风险管理、安全保证、安全推广。这套标准早以成为各类航空业运营者和监管机构的必备框架,甚至在通航领域也已经普及了SMS。

通过将管理学和系统论引入安全领域,将人的差错融入CRM(机组资源管理)和TEM(威胁与差错管理)。SMS的一大改变是将基层责任人的义务和责任,向上追溯并形成系统化管理范式,让每个人都成为安全主体,进而强调安全文化和“吹哨人”制度的重要性。其中Just Culture(公正文化)让人敢于发声,奖罚有度以奖代罚,减轻基层安全风险的同时,也能降低决策层的决策压力。

由此塑造的系统安全观,让安全服务于整体收益,将个体和组织从安全压力中解放,让组织不再追求“绝对安全”,而是通过科学化、组织化、流程化和精细化的风险管理,将风险减小到可接受的范围内。从“一刀切”追求“绝对安全”转向主动和可控的“相对安全”、“可控的动态安全”转变。

永恒的纪念

四十年来,有太多防范事故的安全措施、理念和分析方法被开发出来,以上还只是我写这篇小文时脑子里能想起来的。这些不仅应用在航空航天领域,还广泛应用在核电站、能源开发、地质和矿产,以及每位老百姓都可以获益的医疗和公共服务。无论是什么措施、理念或者分析方式,最终都是将人置于中心地位和最终服务的目标。

在纪念挑战者号事故四十周年的时候,我更想说的是:四十年前那 73 秒不只留下了震撼和悲伤,而是在一代又一代安全研究者、工程师、飞行员和学者的倾力协作中,转化成了今天广泛使用的思维工具。

其实挑战者号留给航空航天界最重要的遗产,并不是上面我提到的或者没有提到的哪些安全措施、理念和方法,而是这七位宇航员的生命。最后,请各位花点时间记住四十年前罹难的这七位宇航员,他们不是符号,他们都曾是与你我一样鲜活的生命:

  • 任务指令长:Francis R. “Dick” Scobee 弗朗西斯·斯科比
  • 飞行员:Michael J. Smith 迈克尔·史密斯
  • 任务专家:Judith A. Resnik 朱迪斯·雷斯尼克
  • 任务专家:Ronald E. McNair 罗纳德·麦克奈尔
  • 任务专家:Ellison S. Onizuka 埃里森·鬼冢
  • 载荷专家:Gregory B. Jarvis 格雷戈里·贾维斯
  • “教师上太空计划”代表,载荷专家:Sharon Christa McAuliffe 克里斯塔·麦考利夫

更多详细:https://www.nasa.gov/challenger-sts-51l-accident/