Am 28. Januar 1986 explodiert Challenger 73 Sekunden nach dem Start. Die O-Ring-Dichtungen waren nie bei so niedrigen Temperaturen getestet worden wie am Morgen des Starts. Der Unfall war kein Versagen, er war eine Vorhersage, eingeschrieben in die Grenzen der Testbedingungen.
Jede kritische Komponente akzeptiert eine berechnete Ausfallrate. Die Risikoberechnung verwandelt den statistischen Unfall in ein determiniertes Ereignis. Diese Akzeptanz programmiert die Wahrscheinlichkeit des Systemkollapses.
Morton Thiokol hatte empfohlen, den Start zu verschieben. Die NASA verlangte einen Beweis, dass die Dichtungen versagen würden, nicht einen Beweis, dass sie funktionieren würden. Die NASA verlangte, vom Scheitern überzeugt zu werden, nicht vom Erfolg beruhigt.
Der Unfall beendet nicht die Verhandlung zwischen Optimierung und Kollaps, er dokumentiert sie. Der folgende Bericht programmiert die Toleranzen des nächsten Zyklus.
Doctrine
Der Unfall ist nicht der Beweis für das Versagen des Systems. Er ist der Beweis, dass das System bis zu seiner vertraglichen Grenze funktioniert hat. Was toleriert wurde, wird vorgeschrieben.
Vecteur ouvert
In einer toten Sprache, wer trug die Last zu beweisen, dass ein syntaktischer Kompromiss inakzeptabel war, und in welchem Moment hat diese Umkehrung der Beweislast die Bahn der Sprache besiegelt?
