[identity profile] fixik-papus.livejournal.com posting in [community profile] engineering_ru
Оригинал взят у [livejournal.com profile] fixik_papus в Lithobraking, или Высота под уровнем моря
Оно же на dreamwidth.

Эпиграф.
- Как правильно тормозить двигателем?
- Сначала нужно тормозить бампером, затем радиатором и только после этого - двигателем.
(с) анекдот


На днях выложен официальный отчет о причинах жесткой посадки спускаемого аппарата "Скиапарелли" Европейского космического агентства на Марс.
Подобные отчеты хороши тем, что доступны публично - и дают редкую возможность заглянуть в поведение и причины отказов сложных систем автоматики.
И в большинстве случаев убедиться, из-за какой же ерунды оно не работает.

Фото отсюда. Все фото крупно по клику



Нельзя не отметить, что мягко приземлиться на Марсе (да и хотя бы просто долететь до Марса) - задача, мягко говоря, нетривиальная.
Исторически - примерно половина миссий вообще в район Марса не добралась.


инфографика отсюда

Итак, 16 октября 2016 года в 14:42:22 UTC спускаемый аппарат "Скиапарелли" (дальше - СА) вошел в марсианскую атмосферу.
Что было дальше - проще понять на картинке из вышеозначенного отчета.



Собственно, так оно все и сработало. За маленьким исключением:

Верхняя крышка вместе с парашютом отделилась намного раньше, чем нужно. А реактивный двигатель мягкой посадки был выключен через 3 секунды вместо расчетных 30. В результате "Скиапарелли" врубился в поверхность Марса на скорости примерно 150 метров в секунду.

Причины бОльшей части проваленных миссий к Марсу точно не установлены и поныне. Но в данном случае телеметрия со спускаемого аппарата была прямо в процессе спуска передана на спутник Trace Gas Orbiter - и оттуда в центр управления, что позволило произвести "разбор полетов".

Чтобы сложная цепочка событий выполнилась как нужно - СА должен знать, где он находится и далеко ли еще до земли (то бишь, до Марса).
Для этого на борту имеются инерциальная навигационная система (ИНС, суть гироскопы+акселерометры) и радарный высотомер.

ИНС рассчитана на определенный предел угловых скоростей. Если предел превышен - выдается сигнал "зашкал", данные соответственно недостоверны.
Чтобы нужный предел определить - провели некие расчеты по некой модели сверхзвукового парашюта и взяли предельный получившийся случай. На деле поведение парашюта оказалось несколько отличным от расчетного, а про неравномерное выгорание теплоизоляции вовсе забыли.
В результате ИНС первый раз ушла в "зашкал" еще при вводе парашюта. Проще говоря, СА как следует помотался на стропах, но затем стабилизировался.
Через небольшое время СА начал вращаться вокруг своей оси со скоростью, снова загнавшей ИНС в "зашкал".

Неправильно подобранные пределы измерения ИНС - это первая, но не последняя ошибка.
Когда при расследовании обратились к Jet Propulsion Laboratory - единственной в мире на сегодня конторе, умеющей сажать что-либо на Марс (и то не всегда) - ответ был прост и немного предсказуем:
"А чего вы хотели? Сверхзвуковой парашют в атмосфере Марса - штука плохо предсказуемая и на Земле толком не тестируемая, фиг смоделируешь. Посему рассчитывайте на все, что угодно, причем с запасом. Вон, у нас при посадке Opportunity та же фигня с закруткой была - и ничего, тринадцатый год по Марсу катается".

Надо было до старта спецов спрашивать, а не при разборе полетов, однако.

Кстати, мало кто знает, что обычный спускаемый на Землю аппарат корабля "Союз" при спуске так же закручивается со скоростью до 12 оборотов в минуту - и это считается штатным.

"Если предел превышен - выдается сигнал "зашкал", данные соответственно недостоверны"
Логика правильная, но вот уставка этого предела - оказалась неправильной. В результате некоторое время ИНС выдавала неправильные данные, не ставя флага переполнения.
В теории должно быть 15 мс. По факту все в эту цифру верили, но никто никогда не проверял.
(а будь там реально 15мс - при все при остальном посадка, вероятно, была бы мягкой).

Эти неправильные данные угловой скорости были успешно проинтегрированы бортовым компьютером при расчете угловых координат СА.
Результат интегрирования оказался настолько неправильным, что СА якобы "перевернут кверх ногами".
К сожалению, никому в голову не пришло подумать: а каким образом вообще аппарат, подвешенный под парашютом, может перевернуться кверх ногами и так лететь?

При дальнейшем расчете высоты (через угловые координаты = вектор направления движения и скорость) - рассчитанная высота оказалась отрицательной (косинус угла >90град отрицательный). То бишь - СА летит "где-то внутри Марса."
Никого из программистов не смутил ни сам факт отрицательной высоты летящего СА, ни мгновенное ее изменение на несколько километров.

Но не стОит считать программистов миссии "Экзомарс" совсем тупыми. Разумеется, там предусмотрена проверка: если ИНС выдает сигнал "зашкал" 5 секунд и дольше - он считается неисправным и управление передается радиовысотомеру (работавшему штатно).
Все замечательно. Но есть нюанс! Там не просто радиовысотомер, а допплеровский. Что означает: высотомер выдает не абсолютное значение высоты, а ее изменение.
Соответственно, чтобы работать по высотомеру - нужно знать "точку отсчета".
В качестве которой было взято... правильно, вышеупомянутое отрицательное значение высоты. Полученное о неисправной ИНС.
Которое теперь еще и уходило дальше "в минус" по мере реального снижения над Марсом!

Логика управления парашютом, получив информацию "СА находится под поверхностью Марса" - решила "парашют под землей не нужен" и отстрелила его нафих. И включила посадочный двигатель. (он, судя по логике, и под землей нужен).

Расчет времени отключения посадочного двигателя - это отдельный алгоритм. Выключение происходит, когда и кинетическая энергия летящего СА, и потенциальная энергия его в гравитационном поле Марса - равны нулю. Что есть совершенно корректное терминальное условие мягкой посадки.
Как его проверить? Сложили оба значения и проверили сумму на ноль.
Кинетическая энергия была посчитана правильно и была положительной. А вот потенциальная "под поверхностью Марса" оказалась настолько отрицательной, что условие отключения двигателя было выполнено еще до того, как он включился. В результате двигатель отключился так быстро, как только мог - через 3 секунды.

Отделение парашюта и отключение двигателя произошли в нескольких километрах над поверхностью Марса и на сверхзвуковой скорости.
Через несколько секунд высота СА - реально стала отрицательной!
Потому что от "торможения о поверхность" (lithobraking, ага) образовался кратер диаметром 2,4м и глубиной 0,5м.
Который нужно заслуженно назвать в честь главного программиста проекта.
(В отчете фамилии не упоминаются. А жаль! страна должна знать своих героев в лицо).


Фото со спутника Mars Recoinassance Orbiter

Кусочек выводов комиссии о непосредственных причинах аварии я позволю себе перевести дословно.
Всем коллегам рекомендуется распечатать и повесить рядом с монитором.

"Рекомендация 5:
Бортовое программное обеспечение должно содержать адекватные и достоверные проверки разумности всех входных данных и результатов расчетов.
Включая, но не ограничиваясь:
Проверка ориентации (не может быть кверх ногами под парашютом)
Проверка высоты (не может быть отрицательной)
Проверка ускорения падения (не может превышать ускорения свободного падения)
Проверка производной высоты (не может уходить в минус от 3,7км за 1 секунду)
Сравнение актуального профиля высоты и ускорения с расчетным, чтобы заранее понять недостоверность измерений.

А я бы добавил от себя к отчету еще одну рекомендацию:
Установить высотомер, который выдает абсолютное значение высоты. А не производную.

P.S. Следующий раздел отчета заставил меня криво улыбнуться.

После двух неудачных попыток мягкой посадки на Марс (первой был Бигль-2) Европейское космическое агентство сделало жест "лапки кверху", отказалось от дальнейших разработок СА... и подрядило для создания СА для своего марсохода - российское НПО им.Лавочкина. Которое тоже на сей день не добилось ни одной успешной посадки на Марс Но за европейские деньги попытаться еще разок - да пожалуйста.

Так вот, раздел 8 я бы назвал так:
Рекомендации от одной конторы, не умеющей мягкую посадку на Марс - другой конторе, не умеющей мягкую посадку на Марс: "Как надо делать мягкую посадку на Марс".
Сдается мне, что году так в 2021, а то и в 2023 - будем примерно так же разбирать официальный доклад "О причинах появления очередного российско-европейского рукотворного кратера на Марсе", ага.
From:
Anonymous( )Anonymous This account has disabled anonymous posting.
OpenID( )OpenID You can comment on this post while signed in with an account from many other sites, once you have confirmed your email address. Sign in using OpenID.
User
Account name:
Password:
If you don't have an account you can create one now.
Subject:
HTML doesn't work in the subject.

Message:

 
Notice: This account is set to log the IP addresses of everyone who comments.
Links will be displayed as unclickable URLs to help prevent spam.

Profile

engineering_ru: (Default)
Инженерия

June 2017

S M T W T F S
    1 23
4 5678910
11 121314151617
18192021222324
252627282930 

Most Popular Tags

Style Credit

Expand Cut Tags

No cut tags
Page generated Jul. 24th, 2017 08:50 am
Powered by Dreamwidth Studios