fixik_papus (fixik_papus) wrote in engineering_ru,
fixik_papus
fixik_papus
engineering_ru

Lithobraking, или Высота под уровнем моря

Оригинал взят у fixik_papus в Lithobraking, или Высота под уровнем моря
Оно же на dreamwidth.

Эпиграф.
- Как правильно тормозить двигателем?
- Сначала нужно тормозить бампером, затем радиатором и только после этого - двигателем.
(с) анекдот


На днях выложен официальный отчет о причинах жесткой посадки спускаемого аппарата "Скиапарелли" Европейского космического агентства на Марс.
Подобные отчеты хороши тем, что доступны публично - и дают редкую возможность заглянуть в поведение и причины отказов сложных систем автоматики.
И в большинстве случаев убедиться, из-за какой же ерунды оно не работает.

Фото отсюда. Все фото крупно по клику



Нельзя не отметить, что мягко приземлиться на Марсе (да и хотя бы просто долететь до Марса) - задача, мягко говоря, нетривиальная.
Исторически - примерно половина миссий вообще в район Марса не добралась.


инфографика отсюда

Итак, 16 октября 2016 года в 14:42:22 UTC спускаемый аппарат "Скиапарелли" (дальше - СА) вошел в марсианскую атмосферу.
Что было дальше - проще понять на картинке из вышеозначенного отчета.



Собственно, так оно все и сработало. За маленьким исключением:

Верхняя крышка вместе с парашютом отделилась намного раньше, чем нужно. А реактивный двигатель мягкой посадки был выключен через 3 секунды вместо расчетных 30. В результате "Скиапарелли" врубился в поверхность Марса на скорости примерно 150 метров в секунду.

Причины бОльшей части проваленных миссий к Марсу точно не установлены и поныне. Но в данном случае телеметрия со спускаемого аппарата была прямо в процессе спуска передана на спутник Trace Gas Orbiter - и оттуда в центр управления, что позволило произвести "разбор полетов".

Чтобы сложная цепочка событий выполнилась как нужно - СА должен знать, где он находится и далеко ли еще до земли (то бишь, до Марса).
Для этого на борту имеются инерциальная навигационная система (ИНС, суть гироскопы+акселерометры) и радарный высотомер.

ИНС рассчитана на определенный предел угловых скоростей. Если предел превышен - выдается сигнал "зашкал", данные соответственно недостоверны.
Чтобы нужный предел определить - провели некие расчеты по некой модели сверхзвукового парашюта и взяли предельный получившийся случай. На деле поведение парашюта оказалось несколько отличным от расчетного, а про неравномерное выгорание теплоизоляции вовсе забыли.
В результате ИНС первый раз ушла в "зашкал" еще при вводе парашюта. Проще говоря, СА как следует помотался на стропах, но затем стабилизировался.
Через небольшое время СА начал вращаться вокруг своей оси со скоростью, снова загнавшей ИНС в "зашкал".

Неправильно подобранные пределы измерения ИНС - это первая, но не последняя ошибка.
Когда при расследовании обратились к Jet Propulsion Laboratory - единственной в мире на сегодня конторе, умеющей сажать что-либо на Марс (и то не всегда) - ответ был прост и немного предсказуем:
"А чего вы хотели? Сверхзвуковой парашют в атмосфере Марса - штука плохо предсказуемая и на Земле толком не тестируемая, фиг смоделируешь. Посему рассчитывайте на все, что угодно, причем с запасом. Вон, у нас при посадке Opportunity та же фигня с закруткой была - и ничего, тринадцатый год по Марсу катается".

Надо было до старта спецов спрашивать, а не при разборе полетов, однако.

Кстати, мало кто знает, что обычный спускаемый на Землю аппарат корабля "Союз" при спуске так же закручивается со скоростью до 12 оборотов в минуту - и это считается штатным.

"Если предел превышен - выдается сигнал "зашкал", данные соответственно недостоверны"
Логика правильная, но вот уставка этого предела - оказалась неправильной. В результате некоторое время ИНС выдавала неправильные данные, не ставя флага переполнения.
В теории должно быть 15 мс. По факту все в эту цифру верили, но никто никогда не проверял.
(а будь там реально 15мс - при все при остальном посадка, вероятно, была бы мягкой).

Эти неправильные данные угловой скорости были успешно проинтегрированы бортовым компьютером при расчете угловых координат СА.
Результат интегрирования оказался настолько неправильным, что СА якобы "перевернут кверх ногами".
К сожалению, никому в голову не пришло подумать: а каким образом вообще аппарат, подвешенный под парашютом, может перевернуться кверх ногами и так лететь?

При дальнейшем расчете высоты (через угловые координаты = вектор направления движения и скорость) - рассчитанная высота оказалась отрицательной (косинус угла >90град отрицательный). То бишь - СА летит "где-то внутри Марса."
Никого из программистов не смутил ни сам факт отрицательной высоты летящего СА, ни мгновенное ее изменение на несколько километров.

Но не стОит считать программистов миссии "Экзомарс" совсем тупыми. Разумеется, там предусмотрена проверка: если ИНС выдает сигнал "зашкал" 5 секунд и дольше - он считается неисправным и управление передается радиовысотомеру (работавшему штатно).
Все замечательно. Но есть нюанс! Там не просто радиовысотомер, а допплеровский. Что означает: высотомер выдает не абсолютное значение высоты, а ее изменение.
Соответственно, чтобы работать по высотомеру - нужно знать "точку отсчета".
В качестве которой было взято... правильно, вышеупомянутое отрицательное значение высоты. Полученное о неисправной ИНС.
Которое теперь еще и уходило дальше "в минус" по мере реального снижения над Марсом!

Логика управления парашютом, получив информацию "СА находится под поверхностью Марса" - решила "парашют под землей не нужен" и отстрелила его нафих. И включила посадочный двигатель. (он, судя по логике, и под землей нужен).

Расчет времени отключения посадочного двигателя - это отдельный алгоритм. Выключение происходит, когда и кинетическая энергия летящего СА, и потенциальная энергия его в гравитационном поле Марса - равны нулю. Что есть совершенно корректное терминальное условие мягкой посадки.
Как его проверить? Сложили оба значения и проверили сумму на ноль.
Кинетическая энергия была посчитана правильно и была положительной. А вот потенциальная "под поверхностью Марса" оказалась настолько отрицательной, что условие отключения двигателя было выполнено еще до того, как он включился. В результате двигатель отключился так быстро, как только мог - через 3 секунды.

Отделение парашюта и отключение двигателя произошли в нескольких километрах над поверхностью Марса и на сверхзвуковой скорости.
Через несколько секунд высота СА - реально стала отрицательной!
Потому что от "торможения о поверхность" (lithobraking, ага) образовался кратер диаметром 2,4м и глубиной 0,5м.
Который нужно заслуженно назвать в честь главного программиста проекта.
(В отчете фамилии не упоминаются. А жаль! страна должна знать своих героев в лицо).


Фото со спутника Mars Recoinassance Orbiter

Кусочек выводов комиссии о непосредственных причинах аварии я позволю себе перевести дословно.
Всем коллегам рекомендуется распечатать и повесить рядом с монитором.

"Рекомендация 5:
Бортовое программное обеспечение должно содержать адекватные и достоверные проверки разумности всех входных данных и результатов расчетов.
Включая, но не ограничиваясь:
Проверка ориентации (не может быть кверх ногами под парашютом)
Проверка высоты (не может быть отрицательной)
Проверка ускорения падения (не может превышать ускорения свободного падения)
Проверка производной высоты (не может уходить в минус от 3,7км за 1 секунду)
Сравнение актуального профиля высоты и ускорения с расчетным, чтобы заранее понять недостоверность измерений.

А я бы добавил от себя к отчету еще одну рекомендацию:
Установить высотомер, который выдает абсолютное значение высоты. А не производную.

P.S. Следующий раздел отчета заставил меня криво улыбнуться.

После двух неудачных попыток мягкой посадки на Марс (первой был Бигль-2) Европейское космическое агентство сделало жест "лапки кверху", отказалось от дальнейших разработок СА... и подрядило для создания СА для своего марсохода - российское НПО им.Лавочкина. Которое тоже на сей день не добилось ни одной успешной посадки на Марс Но за европейские деньги попытаться еще разок - да пожалуйста.

Так вот, раздел 8 я бы назвал так:
Рекомендации от одной конторы, не умеющей мягкую посадку на Марс - другой конторе, не умеющей мягкую посадку на Марс: "Как надо делать мягкую посадку на Марс".
Сдается мне, что году так в 2021, а то и в 2023 - будем примерно так же разбирать официальный доклад "О причинах появления очередного российско-европейского рукотворного кратера на Марсе", ага.
Tags: аварии и происшествия, космос, юмор & байки
Subscribe
promo engineering_ru september 27, 2014 22:50 58
Buy for 200 tokens
Приветствую! По просьбе Сергея 22sobaki хотел бы написать о работе инженером в Канаде, по возможности описать канадскую систему лицензирования инженеров, а также просто привести примеры из собственной практики. Пару слов о себе: меня зовут Николай, я инженер-электрик с уклоном в…
  • Post a new comment

    Error

    Anonymous comments are disabled in this journal

    default userpic

    Your reply will be screened

    Your IP address will be recorded 

  • 161 comments