Лунная миссия «Берешит» — озвучена предварительная причина аварии

Спустя 6 суток после падения аппарата «Берешит» на лунную поверхность, команда SpaceIL официально озвучила интригующую версию аварии на Луне 11 апреля 2019 года. И возникает еще больше вопросов о случившемся.

Обновлена информация по аварии на 18.04.2019.

В продолжении этой публикации.

Официальная от SpaceIL на данный момент последняя фотография с аппарата «Берешит» (15 км до поверхности Луны):

Вот привязка по местности на это фото:

Предварительные результаты расследования аварии: в процессе посадки бортовым компьютером была активирована команда, исполнение которой привело к фатальному результату для миссии

Here are the findings of the preliminary investigation of Beresheet’s landing maneuver: It appears that during the landing process a command was entered that led to a chain reaction, which caused the main engine to switch off and prevented it from being reactivated.

«Похоже, что во время процесса посадки была введена команда, которая привела к цепной реакции, вызвавшей отключение основного двигателя аппарата и не позволила возобновить его работу далее.»

Обновление от 18.04.2019:
Все же авария из-за команды, полученной от оператора во время посадки — нервы, нет времени анализировать ситуацию, основной блок IMU1 (inertial measurement unit) в нештатном режиме, оператор посылает команду на активацию запасного блока IMU2, что вызвало далее критические последствия в работе бортового компьютера (зависание, перезагрузку) и отказ двигателя.

«A command intended to correct a malfunction in one of the Beresheet spacecraft’s inertial measurement unit led to a chain of events that turned off its main engine during landing, according to a preliminary investigation conducted by SpaceIL».

Таким образом, возможно, что это была программнаячеловеческая ошибка (ввод команд происходил оператором или инженерами в ЦУП) в процедуре посадки аппарата «Берешит».

Список команд и режимы работы с аппаратом «Берешит» утверждались и передавались только из ЦУП SpaceIL. Инженеры SpaceIL создавали патчи для бортового компьютера аппарата, проверяли их работоспособность и функциональность, а также готовили команды для процедуры посадки.

Интересно, перехватить управление аппаратом и внедрить в его бортовой компьютер дополнительный кодкоманду, теоретически, возможно было сделать или там все же была определенная защита от внешнего несанкционированного доступа?

Ведь при посадке время шло на секунды и операторы могли проморгать ситуацию с получением аппаратом чужих команд. Хотя, в этот момент операторы также колдовали в ручном режиме, пытаясь работать с аппаратом. Может тут тоже случилась нестыковка по введенным командам в одно время.

Но, скорее всего, тут была ошибка в «своем» коде (может она была в одном из многочисленных патчей, которые передавались на бортовой компьютер после каждой его перезагрузки), в котором содержалась фатальная команда.

Умышленно или случайно была введена эта команда, которая привела к аварии — этот факт останется закрытым, скорее всего, хотя ждем окончательных результатов в ближайшее время от SpaceIL, которые они пообещали обязательно опубликовать.

Что известно об аппаратных и программных компонентах аппарата «Берешит»:

— бортовой компьютер один (1), не продублирован (было несколько перезагрузок компьютера в процессе полета до Луны);

— программный код управления, команды и работа с бортовым компьютером — на языке С;

— из-за того, что компьютер только один, при перезагрузке все обновления (патчи) стираются и их нужно дополнительно загружать заново в систему;

— скорость передачи данных низкая: одна фотография большого разрешения (с камеры 8 Mpx) загружается 40 минут;

— DLR (Немецкий аэрокосмический центр) проводил тестирование механизма посадки аппарата «Берешит»;

— команда в ЦУП SpaceIL: большинство — это инженеры космической отрасли и ученые-физики, несколько молодых ученых и инженеров, которые только изучают системы спутникового управления.

Когда мог быть внедрен код с этой фатальной командой? Скорее всего, при поготовке к процедуре посадки.

Но команда в бортовом компьютере сработала уже после прохождения аппаратом «точки невозврата», когда начался автоматический управляемый только бортовым компьютером процесс посадки.

Хотя в ЦУП SpaceIL была попытка в режиме ручного управления повлиять на ситуацию с аппаратом при посадке.

На расстоянии 800 км от места посадки начинаются посадочные процедуры:

Аппарат «Берешит» получит серию команд из ЦУП:

Будут активированы датчики посадки (основной и резервный):

Будет начата процедура изменения положения (ориентации) аппарата «Берешит»:

После окончания подготовительных процедур перед посадкой, у бортового компьютера аппарата «Берешит» и в ЦУП будет возможность оценить состояние систем и готовность к посадке, если что-то будет работать некорректно, то процедура посадки будет отменена, если все штатно, то после начала следующего этапа посадки больше никакой отмены сделать уже не получится:

Если все идет штатно, то аппарат «Берешит» начнет снижать свою орбитальную скорость и уменьшать расстояние до поверхности Луны с помощью основного и вспомогательных двигателей, эта процедура займет 15 минут:

Видео посадки:

Что происходило, согласно видео посадки, с аппаратом (времена указаны из видеоролика):

23:03 Индикатор телеметрии стал зеленым. Режим: ориентация.
25:04 Режим: торможение.
25:20 Пройдена «точка невозврата».
25:26 Индикатор «точки невозврата» стал черным.
25:52 Индикатор вертикальной скорости зеленый.
28:16 Индикатор телеметрии перестал быть зеленым.
28:20 Индикатор телеметрии на мгновение стал зеленым, потом перестал быть зеленым.
29.37 Дистанция: 210 км.
29:50 Дистанция изменяется на 385 км.
30:03 Дистанция изменяется на 370 км.
30:40 Индикатор телеметрии стал зеленым.
30:51 Дистанция изменяется на 314 км.
31:33 Показана картинка-селфи с Луной. Высота около 22 км? Индикатор телеметрии стал зеленым.
31:50 Индикатор телеметрии перестал быть зеленым.
31:55 to 32:29 «[неразборчиво] убить его (процесс?).» «[еще неразборчивее] занят»
(тут инженеры уже в режиме ручного управления пытаются бороться с возникшей нештатной ситуацией)
32:48 Показывается экран телеметрии. Индикатор телеметрии желтый. Высота 14095 м. Горизонтальная скорость 955.5 м/с. Вертикальная скорость 24.8 м/с. Основной двигатель включен. Ячейка «горизонтальная скорость» желтая. Другие параметры показаны зелеными, за исключением индикатора телеметрии.
32:49 Все двигатели включены.
32:51 Все двигатели выключены.
32:55 Основной двигатель включен.
32:57 Все двигатели включены.
32:59 Основной двигатель включен. Дистанция: 183.8 км.
33:01 — 33:03 «датчик IMU не в порядке»
33:02 Все двигатели включены.
33:05 Основной двигатель включен.
33:07 Все двигатели включены.
33:09 Основной двигатель включен.
33:11 Все двигатели включены.
33:13 Основной двигатель включен.
33:16 Все двигатели включены.
33:20 Индикатор телеметрии стал зеленым. Все двигатели выключены. Все картинки замерли (нет изменений в показаниях).
33:32 Индикатор телеметрии перестал быть зеленым. Все двигатели выключены. Все картинки замерли (нет изменений в показаниях).
34:24 Индикатор телеметрии стал зеленым. Все двигатели выключены.
36:25 — 36:33 «Проблемы с основным двигателем. Мы перезагружаем бортовой компьютер, чтобы включить двигатель.»

Попытка стенографирования слов диктора и инженеров в процессе посадки (тайминг другой, но суть и секунды такие же):

7:37:37 — IMU2 Not OK
7:37:50 — [not clear] will try to enable it.
7:37:57 — Someone is asking if it [unclear what ‘it’ is]will cause us to swith to the 2nd [something]
7:38:10 — Lost connection from JPL
7:38:34 — We lost one IMU and we lost connection to JPL, the two should not be related.
[in the background someone says something about restarting the IMU]
7:38:39 — Do not enable IMU2
7:38:52 — What you see on the screen is not correct, there is currently no telemetry
7:39:06 — [in english] we lost telemetry, but we have telemetry back now.
7:39:23 — We passed altitude 10km
7:39:29 — Velocity below 900 m/s
7:39:34 — Reminder that we need to reach a velocity of 0
7:39:47 — The engine is running there is an increase in pressure [unclear] to 5 bar[?], «Interesting»
7:39:52 — 2nd image downloaded.
7:40:06 — [Anouncer starting saying something about the laser landing sensor]. [in the background — unclear but it seems like he said the engine is not running]
7:40:13 — We may have a problem with the main engine.
7:40:17 — Do a reset [They had mentioned earlier in the broadcast that they can send commands to the spacecraft during the landing process]
7:40:24 — What do you want?
7:40:28 — Situation seems no good, no main engine.
7:40:33 — 2nd image received.
7:40:40 — Losing altitude
7:41:07 — [In english] We seem to have a problem with the main engine, we are resetting the spacecraft to try to enable the engine
7:41:10 — Is there approval to send [unclear]?
7:41:15 — The main engine is now running, based on [pressure measurements]
7:41:19 — Main engine back on. [and again in english]
7:41:27 — Lost alot of altitude, situation unclear.
7:41:32 — Lost connection with JPL
7:41:45 — We now have a connection only via ssc[??] not thru nasa, but we have a connection with the spacecraft.
7:41:49 — Lost telemetry
7:41:52 — We are now without telemetry
7:41:57 — [english] The main engine is on but we lost communication
7:42:10 — We will wait a moment for [evalution] from [unclear]
7:42:17 — We suspect that we did not land [unclear] still evaluating
7:42:56 — We are without telemtry and suspect we lost the spacecraft.
7:43:16 — All indications are that unfortunately we will not be the 4th nation to land on the moon.
7:43:33 — We are on the moon, but no the way we wanted to be.

Последние 4 секунды жизни аппарата по данным в ЦУП (с 678 до 149 метров снижение):

В 19:23 данные телеметрии совсем перестали поступать.

У инженеров SpaceIL сейчас есть все данные, листинги команд и патчи, которые они отправляли на аппарат «Берешит» после каждой перезагрузки бортового компьютера, также есть возможность исследовать всю эту информацию более тщательно и проанализировать процедуру посадки до возникновения аварии на аппарате.

Если действительно тут не только некорректные данные от внешних датчиков привели к трагедии, а еще и программный код, который обрабатывал эти данные или даже случайно выводил аппарат в аварийную ситуацию, то это только с опытом далее можно разрешить и предотвратить еще на стадии создания кода до отправки на космический аппарат.

Председатель SpaceIL Моррис Кан сказал: «Я горжусь командой инженеров SpaceIL за их замечательную работу и преданность делу, к сожалению аварии зачастую являются неотъемлемой частью такого сложного и новаторского проекта. Сейчас важно максимально усвоить полученные уроки, изучить ошибки и смело продолжать идти вперед».

Кстати, аппарат «Берешит» на орбите Луны и во время посадки использовал бортовой магнетометр и передал в ЦУП SpaceIL некоторую часть научных данных о магнитном поле Луны.

Таким образом, часть своей научной небольшой программы он все же выполнил!

Обновленные данные по ошибке при аварии:

Завершившийся первый этап расследования сводился к изучению фактов и последовательности событий. В процессе полета происходили перебои со связью, но аппарат «Берешит» продолжал функционировать в заданном режиме. Так было до момента, когда аппарат приступил к посадке на лунную поверхность.

В ходе расследования было установлено, что одна из команд, переданных из центра управления полетом, не была выполнена, что привело к цепи последующих сбоев: двигатель перестал работать, а сам аппарат упал на поверхность.

Сбой был выявлен в работе датчика акселерометра, называемом UMI (отвечает за ускорение). Пока точно не установлено, почему последовал отказ, который привел к последующим негативным реакциям системы.

Команда на активацию датчика ускорения была направлена из ЦУП SpaceIL.

После того, как последовал отказ, были предприняты попытки перезапустить двигатель альтернативными способами, но они не увенчались успехом.

Все происходило в условиях жесточайшего временного цейтнота: сбой произошел на последних секундах миссии, которую в итоге завершить не удалось.

Бортовой компьютер аппарата «Берешит» также пытался произвести автономную перезагрузку двигателя — таких попыток было 5-6. Но все они оказались безрезультатными.

Возможно, произошло несогласованное между инженерами выполнение команд на аппарате по включению запасных модулей (IMU2), которое привело далее к новым проблемам и аварии.

The spacecraft was using IMU 1 and was not initially affected by the failure of IMU 2.

One engineer asks if they should attempt to enable IMU 2 and another engineer asks ‘would that cause the system to switch to it (presumably ‘it’ means IMU 2).

Perhaps despite the word of caution from the 2nd engineer someone did send a command to attempt to restart IMU 2 and perhaps that is what they mean by a bad command starting a chain of events…

Оставить комментарий

Записи по теме