Das LOC und LOM Risiko in der historischen Bilanz

Bei bemannter Raumfahrt ist die Besonderheit der Mensch. Während man einen Satelliten nachbauen kann, ist eine Person nicht zu ersetzen. Offensichtlich ist auch die Auswirkung des Verlusts einer Besatzung auf das Programm. Bisher wurde ein Raumfahrtprogramm immer durch einen Besatzungsverlust um Jahre aufgehalten. Selbst in Zeiten eines Wettlaufs, so nach dem Tod der Astronauten von Apollo 1 und Komarow bei Sojus 1. Bei den beiden letzten Verlusten der Columbia und Challenger stand das Programm sogar für mehrere Jahre still. Selbst bei der geglückten Rettung beim Fehlstart von MS-10 wurde die nächste Mission um mehrere Monate verschoben.

Zeit mal die Geschichte und Systematik dieser Risikobewertung zu beleuchten.

Eine formelle Berechnung des Risikos als Zahlenwert gab es anfangs nicht. Über die Vorgehensweise gab es im Mercuryprogramm Diskussionen. Die Besonderheit dessen, wie auch des folgenden Geminiprogramms war, das man die Trägerraketen nicht neu entwickelte und schon vorhandene einsetzte. Wie sollten diese als ICBM konzipierten Träger sicherer werden? So war die Space Task Group für den Ansatz das man alles wegließ, was bei einer bemannten Mission nicht nötig war, nach dem Motto „Was nicht da ist, kann auch nicht ausfallen“. Das MSFC unter der Leitung von Wernher von Braun war für den Ansatz, dass man die Rakete die schon eingeführt ist übernimmt, da, wo es geht, Systeme durch Redundanzen absichert. Der Grundgedanke dahinter war, das man auch durch Weglassen sich neue Fehler einhandelt, eine erprobte Rakete aber schon verlässliche Systeme hat, die man nicht neu erproben muss. Die Space Task Group setzte sich durch, was zum berühmten 4 Inch Flug führte. Aber auch Wernher von Braun hatte Einfluss aufgrund seiner Kompetenz und so bestanden die Umrüstungen bei den Atlas und Titan vor allem in Absicherungen von elektronischen Systemen, die man leicht redundant auslesen konnte. Dazu kam ein System, das bis heute unverzichtbar ist und das wichtige Parameter der Rakete überwachte und bei starken Abweichungen automatisch den Fluchturm auslöste. Es hieß je nach Rakete Emergency Detection System oder Mailfunction Detection System.

Bei der Saturn wurde erstmals eine Rakete von Grund auf für eine bemannte Mission ausgelegt und man machte sich schon beim Design Gedanken über die Risikoverminderung. Das war bisher nicht möglich gewesen. Es gibt bei ihr auch erstmals redundante System im Antrieb. Sowohl in Detaillösungen für Subkomponenten, wie auch beim Antrieb selbst, wo erstmals ein Triebwerk während des Fluges ausfallen dürfte. Die allgemeine Vorgehensweise beim Entwurf war, dass man die vielen Ereignisse die zu einem Versagen führen, konnte in drei Kategorien einteilte, sie unterschieden sich in der Reaktionszeit, also der Zeit zwischen Bemerken einer Abweichung und einer Katastrophe. Ziel bei dem Design und der Konstruktion war es, dass möglichst viele Ereignisse in die letzte Kategorie fielen, bei der es genügend Zeit für die Besatzung gab über Aktionen nachzudenken oder sie sogar mit der Missionsleitung zu besprechen. Gegen den Rest sollte das automatische Überwachungssystem schützen. Damals tauchten auch erstmalig zwei Begriffe auf, das Loss of Crew Risko, also der Tod der Besatzung LOC und das Loss of Mission Risiko LOM. Das bedeutet die Besatzung ist gerettet, kann aber ihre Mission nicht erfüllen. Apollo 13 war eine solche LOM. Bei Apollo hatte die Saturn V ein LOC-Risiko von 1 in 100 und ein LOM von 1 in 20.

Beim Space Shuttle zeigte sich das der rein rechnerische Ansatz nicht funktionierte, zumindest nicht der offizielle, denn Ingenieure schätzten, wie die Untersuchung des Challengerunglücks zeigte, die Wahrscheinlichkeit eines LOC deutlich höher und realistisch als etwa 1 in 100 ein. Die Hauptproblematik des Space Shuttle war, das die meisten Fehlfunktionen zu einem Verlust der Besatzung führten. Es gab innerhalb der Mission nur wenige Perioden, in denen eine LOM möglich war. Ansonsten bedeutete eine Fehlfunktion auch den Verlust der Besatzung. Das Space Shuttle war nicht inhärent sicher, das heißt ohne aktive Computersteuerung konnte es nicht fliegen zudem war die Besatzung nicht so gut geschützt wie in einer Kapsel. Nach dem Verlust der Columbia wurde man realistischer und bezifferte zu Programmende mit STS-135 das LOC mit 1 zu 90, also schlechter als bei der Saturn V. Beim Jungfernflug soll es nach Rückrechnungen wie viel Sicherheit die Verbesserungen gebracht haben, bei 1 zu 10 gelegen haben. Demgegenüber gab es in derselben Zeit Studien die 1 in 500 oder 1 in 5000 auswiesen und die NASA selbst nahm sogar 1 in 100.000 als Risiko an. Aber wie immer: das sind berechnete Werte. Kein bemanntes Programm absolviert genügend Flüge um eine statistisch abgesicherte Aussage für so niedrige Risiken zu liefern. Beim Space Shuttle Programm waren es bisher nach zwei Verlusten bei 125 Flügen 1 zu 68, bei der Sojus sind es mit unbemannten Testflügen bisher 169 Starts mit zwei Verlusten der Besatzung und drei Notlandungen, also ein LOC von 1 zu 85 und ein LOM 1 zu 56.

Als Reaktion auf den Verlust der zweiten Raumfähre schlug beim Constellation Programm das Pendel in die andere Richtung es wurden von den Trägern irrsinnig hohe LOC Werte gefordert von bis zu 1 in 2000. Es gab nicht wenig Kritik daran, so schloss dies z.B. den Transport der Orion mit einer Atlas oder Delta Trägerrakete aus.

Mit dem Einstellen der Ares ist die Situation wieder eine andere. Da nun die NASA dafür zahlt, dass die Firmen ein Raumfahrzeug bauen und starten, aber anders als bei den bisherigen Programmen nicht bei der Konstruktion und dem Design direkt involviert ist und hier Änderungen durchsetzen kann, hat sie die Anforderungen spezifiziert, die das Raumfahrzeug und die Mission erfüllen müssen. Für den kommerziellen Crew Transport gibt es Vorgaben für gesamte Missionswege:

• 1 in 270 LOC für den Aufstieg
• 1 in 500 LOC für die Landung
• 1 in 300 LOM für Start und Landung zusammen
• 1 in 150 LOM für die Gesamtmission

Diese Zahlen basieren auf Schätzungen der Zuverlässigkeit der Sojus und der Forderung, dass das neue System nicht schlechter als dieses uralte Raumschiff sein darf. Demgegenüber wurden für das Constellation Programm erheblich höhere Forderungen aufgestellt:

• 1 in 1000 LOC für den Aufstieg
• 1 in 1000 LOC für die Landung
• 1 in 270 LOC für die Mission
• 1 in 55 LOM für die Gesamtmission

Das niedrigere LOM für Constellation reflektiert, dass es sich hier um eine Mondmission handelt, die nicht einfach in 90 Minuten landen kann, wenn es ein Problem gibt.

Das heißt, die Anforderungen für den kommerziellen Crewtransport sind bedeutend geringer als die von Constellation, sie sind aber auch mit den Trägerraketen, die ja nicht für bemannte Transporte entworfen wurden, erreichbar. Vor allem aber hat sich die Sichtweise geändert. Anders als heute gibt es keine „man rated“ Trägerrakete. Natürlich ist die Trägerrakete immer noch ein Schlüsselelement, das evaluiert wird. Man entdeckte bei beiden Trägern hier Probleme. Aber es gibt keine gezielten Änderungen oder Sonderausrüstungen um die Trägerrakete für bemannte Flüge zu qualifizieren. Vielmehr untersucht man die bisherigen Flüge und die Produktion und sucht nach Schwachstellen oder Problemen und stellte diese ab.

Heute hat sich der Fokus verschoben von dem Träger auf die Gesamtmission und dies geschieht vor allem durch bessere Überwachung der Rakete und ein zuverlässiges Rettungssystem. Die schon bei Atlas, Titan oder Saturn eingeführten Systeme waren in den Fähigkeiten beschränkt und konzentrierten sich auf einfache aber wesentliche Überwachungsmöglichkeiten. So gab es in der Saturn V in den Triebwerksleitungen zwischen Turbopumpe und Brennkammer drei Schalter, die bei Erreichen des Solldrucks freien Durchfluss in den Leitungen ermöglichten. Sank der Brennkammerdruck ab, so gingen sie nacheinander zurück in die Ausgangstellung, jeweils bei wenigen Bar niedrigerem Druck. Klappen zwei der drei Schalter zurück, so wurde das Ventil geschlossen, was das Triebwerk abschaltete und das als Signal an die Elektronik gemeldet.

Heute ist es kein Problem ein Triebwerk, bei dem zahlreiche Messwerte nicht konstant sind, sondern schwanken, genauer zu überwachen und dabei nicht nur feste Grenzen überwachen. Die Aufrüstung, der schon in den Siebzigern entwickelten, Space Shuttle Triebwerkskontroller mit Signalverarbeitungssensoren sollte diese befähigen, auch schleichende Veränderungen zu erkennen und so das LOC-Risiko drastisch reduzieren. Zugleich senkten sie auch das LOM-Risiko, indem sie es ermöglichten, ein Triebwerk mit reduziertem Druck weiter zu betreiben, anstatt es abzuschalten. Durch die nach dem Verlust der Columbia beschlossene Einstellung des Programms kam es leider nicht mehr zur Umsetzung dieses Upgrades.

Es zeigt aber was heute messtechnisch möglich ist. Durch das Erkennen von schleichenden, langsamen Veränderungen lange vor einem ernsten Vorfall gewinnt man Zeit. Zeit die zum einen genutzt werden kann eine Mission abzubrechen, aber eben auch um Maßnahmen zu ergreifen um die Mission zu retten, wie eben das Runterfahren anstatt Abschalten. Alle Triebwerke der Atlas V und Falcon 9 sind im Schub regulierbar. Beim RL10 wurde das zumindest im Labor demonstriert. Ich habe die Triebwerke als Beispiel genommen, weil sie als die Hauptquelle von Verlusten gelten, doch auch andere Ereignisse wie Kursabweichungen oder Drehungen kann man rechtzeitig erkennen. Selbst Explosionen sind selten ohne Vorankündigung. So konnte SpaceX bei zwei explodierten Oberstufen in der Telemetrie jedes Mal die Ursache finden. Analog könnte ein Computer dieselbe Telemetrie in Realzeit auswerten und die Abtrennung auslösen.

Aber natürlich ist jeder Raketenstart riskant, auch wenn heute bei den meisten Trägern die länger im Einsatz sind, Zuverlässigkeitsraten von 98 oder 99 % (LOM 1 zu 50 bis 100) erreicht werden. Das grundlegende Sicherheitselement ist heute die Rettung der Kapsel. Früher bzw. bei der Orion immer noch so vorgesehen durch einen Fluchtturm, bei Starliner und Crew Dragon dagegen durch Triebwerke im Boden der Kapsel. Der wurde entsprechend bei Orion und Dragon im Flug getestet. Früher gab es noch erheblich mehr Tests des Fluchtturms, auch wenn man so die Rettungsmethode der modernen Kapseln nicht nennen kann. Analog wurde für die Landung gefordert, dass die Firmen ihr Fallschirmsystem testen.

Das heißt aber auch, das wir heute nicht mehr von einer „Man Rated“ Rakete reden können. Der Fokus hat sich verlagert auf die Kapsel mit ihrem integrierten Rettungssystem und das Erkennen von Fehlern. So gesehen müsste man das Dragon Raumschiff ohne Problem von einer Falcon 9 auf eine Falcon Heavy transferieren können, bzw. Boeing die Starts auch mit einer Vulcan durchführen anstatt mit der Atlas.

Man kann sich natürlich auch Risiko schönreden. Als ich meine Artikel zur „Langen Marsch“ aktualisierte lass ich Folgendes in der Wikipedia:

„Daher wurde, um bei einem eventuellen derartigen Einsatz die Sicherheit der Mannschaft nicht zu gefährden, die garantierte Zuverlässigkeit der Rakete auf 98 % festgesetzt. Zum Vergleich: international ist für bemannte Flüge eine Zuverlässigkeit von 95 % bis 96 % üblich, für unbemannte 91 %. Die vom Hersteller garantierte Zuverlässigkeit der ursprünglich für den Start der Shenzhou-Raumschiffe verwendeten Changzheng 2F betrug 97 %,[18] wurde dann aber bei der weiterentwickelten Version Changzheng 2F/G für die Flüge zur Chinesischen Raumstation ab 2021 ebenfalls auf 98 % erhöht.[19]“

Da hat man die Pressemitteilung von China gut umgesetzt. Das stimmt nur nicht. Schon die Mitte der Achtziger Jahre konzipierte Ariane 5 hat eine Entwurfszuverlässigkeit von 98 % bei unbemannten und 99 % bei bemannten Missionen. Heute dürfte es bei neuen Trägern nochmals deutlich mehr sein und international ist nicht 95 bis 96 % bei bemannten Flügen üblich, das würde heißen, das jeder 17 bis 20-te Flug einer Sojus, Falcon 9 oder Atlas V scheitert. Es zeigt aber wo man die Zuverlässigkeit chinesischer Träger einordnen muss.

Noch eine Bemerkung. Was macht man bei der LOC-Risikobewertung für die Raumstation. Was ist da hinnehmbar? Nun man ist einen ganz einfachen Weg gegangen. Die ISS wurde zu (fast) 100 % sicher angenommen. Das LOC-Risiko von 1 zu 150 für eine 210-Tagesmission entspricht ziemlich genau dem statistischen Risiko, das ein Mann im typischen Alter eines Astronauten hat, innerhalb der nächsten 210 Tage zu versterben, und zwar an natürlichen Ursachen. Bedenkt man wie viele Astronauten und Kosmonauten in den letzten Jahrzehnten Langzeitaufenthalte an Bord von Saljut 7, Mir oder der ISS absolviert haben, dann sind diese sogar deutlich gesünder als die Normalbevölkerung, denn es gab keinen einzigen Fall, wo bisher jemand im Orbit verstarb. Dabei sind bisher (ändert sich natürlich mit jedem Tag) 42.974 Tage im All verbracht worden, das sind über 204 dieser 210-Tagemissionen. Ich bin mal gespannt, was passiert, wenn wirklich jemand mal im All verstirbt, und zwar aufgrund einer Ursache, die nicht mit dem Raumflug zu tun hat wie einem Herzinfarkt oder Ähnlichem. Ob da die Auswirkungen auf das Programm genauso sind wie beim Verlust der Besatzung bei Start oder Landung?

Links:

https://ntrs.nasa.gov/api/citations/20200001592/downloads/20200001592.pdf

https://www.nasa.gov/pdf/504982main_CCTSCR_Dec-08_Basic_Web.pdf

https://www.gao.gov/assets/gao-17-137.pdf

https://ntrs.nasa.gov/api/citations/20040085998/downloads/20040085998.pdf