14.08.2017 03:54
lozga 49 29400 Источник
Завершено расследование аварии при первом пуске частной сверхлегкой ракеты-носителя Electron. Оказалось, что причиной аварийного завершения полета стала неправильная настройка оборудования подрядчика — всего из-за одного ошибочно выключенного тумблера с ракетой прервалась связь, и по действующим правилам пришлось отдать команду на ее аварийный подрыв.


Старт РН Electron, фото Rocket Lab

Хронология событий





25 мая, после трех переносов из-за погоды, состоялся первый испытательный пуск частной сверхлегкой ракеты-носителя Electron. Ракета, отличающаяся интересными техническими решениями и предназначенная для выведения до 225 килограмм на низкую орбиту, в этом пуске летела с габаритно-весовым макетом полезной нагрузки. По циклограмме полета первая ступень успешно отработала две с половиной минуты и отделилась. Вторая ступень запустила двигатель и штатно продолжала полет. В начале третьей минуты были благополучно сброшены створки головного обтекателя. Ракета достигла высоты 224 км, и в твиттере Rocket Lab написали, об успешном достижении космоса, но после четырех минут полета с ней пропала связь по основному каналу. Несмотря на то, что ракета летела над морем и не могла упасть не то, что в густонаселенные места, а вообще на сушу, были приняты правила, по которым в случае потери связи с земли передавалась команда на подрыв ракеты. В итоге «Электрон» не вышел на орбиту.

Основная версия аварии появилась очень быстро, но расследование заняло два месяца, чтобы исключить возможность ошибки. Оказалось, что канал связи, с которым работали операторы аварийного прекращения полета, обеспечивался подрядчиком. Параллельно телеметрию с ракеты по другому каналу получали специалисты Rocket Lab. И если по каналу подрядчика телеметрия стала портиться и в конце концов пропала, то по каналу Rocket Lab был виден нормальный полет вплоть до передачи команды на аварийный подрыв. Получается, что по какой-то причине взорвали нормально летящую ракету. И эту причину нашли в оборудовании, точнее, настройках оборудования подрядчика — там было выключено помехозащищенное кодирование (Forward error correction, FEC).

Помехи и тумблер


Когда ракета стояла на стартовом столе, она была близко к принимающим устройствам, и уровень сигнала телеметрии был очень высоким. После старта она стала удаляться, и мощность сигнала стала падать. Точнее, стал падать уровень сигнал/шум — сигнал от ракеты ослабевал, а фоновый радиошум оставался на прежнем уровне. В результате в какой-то момент шум стал забивать полезный сигнал, и качество телеметрии упало ниже допустимого. Над проблемой передачи информации по каналу связи с помехами задумались еще в середине прошлого века, и еще тогда придумали общий принцип — вместе с полезной информацией передается дополнительная, по которой, при наличии ошибок, можно восстановить то, что было передано. Простейший пример из 1950 года — код Хэминга:



Слева — исходное сообщение. За линиями справа и внизу — специальные контрольные биты, в данном случае показывающие четность количества единиц строки или столбца. В правой части в сообщение вкралась ошибка (отмечена красным). По значению контрольных битов можно исправить ошибку и восстановить исходное сообщение — во второй строке количество единиц должно быть четным, и во втором столбце — тоже. Следовательно, в ячейке на пересечении второго столбца и второй строки должна быть единица, а не ноль.

Возвращаемся к «Электрону». Кроме проверки настроек оборудования Rocket Lab провела натурный эксперимент — записанный с ракеты сигнал воспроизвели повторно с с аналогичным уровнем мощности, и с включенным помехозащищенным кодированием оборудование подрядчика приняло телеметрию без проблем.

В результате получилась трагикомическая и очень поучительная история — неправильного положения всего одного переключателя хватило, чтобы уничтожить здоровую ракету. Для Rocket Lab это урок в большей степени работы с подрядчиками, чем конструирования ракет, опыт, пусть горький, но полезный. Устранить такую проблему просто, и Rocket Lab пишут, что уже изменили свои процедуры. Для космонавтики в целом подобные ошибки не новость, мне, например, вспоминается история, как в начале трансляции выхода на поверхность Луны операторы одной из станций связи, нажимая не те кнопки, сначала перевернули Армстронга вверх ногами, а затем, пытаясь исправить ситуацию, еще и инвертировали цвета.

Польза и будущее


Первый полет «Электрона» вскрыл и реальную проблему. На видео можно заметить, что на участке работы первой ступени ракета медленно вращалась. Скорость была недостаточной для стабилизации вращением, и в целом для полноценной системы управления, которая стояла на ракете, такая стабилизация не нужна. Но и на серьезную аварию это не походило — ракета сохраняла управляемый полет. Оказывается, что это все-таки была ошибка при проектировании, и вращаться в нормальном полете «Электрон» не должен. Теперь об этой ошибке узнали, и к следующему пуску ее должны исправить.

Второй полет «Электрона» планируется провести в начале октября. На нем все так же не будет настоящего спутника. Уже известно название — «Все еще испытываем» («Still testing»). Радует, что Rocket Lab сохранили чувство юмора. Ошибки и неудачи, увы, неизбежны, но судя по серьезности подхода, который виден в работе Rocket Lab, они смогут извлечь из них полезные уроки.

Комментарии (49)


  1. snnrman
    14.08.2017 07:56
    #10255723

    Не понятно только, почему перед уничтожением ракеты подрядчик не связался с Rocket Lab, у которых была четкая связь.


    1. lzb_j77
      14.08.2017 08:35
      #10255757
      -3

      Видимо, девочки-телефонистки не обеспечивают приемлимое время соединения. А за это время ракета полетит не туда и сделает не то :)


    1. lozga Автор
      14.08.2017 09:08
      #10255795
      +5

      Скорее всего, оборудование подрядчика считалось основным (сертифицировано, например), а оборудование Rocket Lab — экспериментальным и вспомогательным. Плюс, наверняка в алгоритм прекращения полета не прописали вариант «спросить другие каналы»


      1. Smbdy_kiev
        14.08.2017 09:24
        #10255833

        в случае потери связи с земли передавалась команда на подрыв ракеты

        Если нет связи, как передать?
        Мне кажется, что с точки зрения ракеты, если не получаешь, например, ежеминутный пинг с Земли, подорвись после третьеё минуты отсутствия связи… Ну, так логичней, вроде как. А вот что на самом деле?


        1. lozga Автор
          14.08.2017 10:05
          #10255943
          +1

          А там отдельная цепь, скорее всего. Ненаправленный приемник (чтобы принять в любом положении) слушает на ракете, а с Земли передается мощный сигнал.


        1. za121
          14.08.2017 13:06
          #10256525

          подрыв ракеты должен быть, только в крайнем случаи- резкое изменение траектории полета. если все идет штатно и всего то пропала связь, то бортовой компьютер должен отработать программу вывода, а дальше пусть на земле думают, что там случилось с носителем.


          1. prospero78su
            14.08.2017 14:18
            #10256749

            Так делать нельзя. Космос не прощает ошибок.


          1. fedorro
            14.08.2017 15:37
            #10256993

            А если бы это резкое изменение началось после того как ракета ушла на такое расстояние, что и команда на подрыв бы не сработала? И это реально, т.к. её «крутило».


            1. za121
              14.08.2017 16:26
              #10257103

              Я думаю подобные ситуации уже заложены в программу пуска и сам бортовой компьютер может сам дать команду на подрыв кардинально нештатной ситуации. Ну хотелось бы верить, что такое есть, а не только из цупа могут подорвать. Смысл уничтожать ракету с нагрузкой, если она штатно летит, но пропала связь? Я понимаю, что при сильном крене или диких вибрациях, крутилках, можно и нужно ракету уничтожить, но вот если она летит и все норм, то зачем? или все управление идет в ручном режиме, тогда понятно почему ее взорвали.


              1. fedorro
                14.08.2017 16:34
                #10257131
                +1

                Ну это после расследования легко рассуждать. А когда есть минута на решение, и не понятно, просто тумблер отключен или вся электроника полетела, включая ту, которая возможно за автоподрыв отвечает — уже не до раздумий, поэтому и есть инструкции, чтобы избавить от мук выбора, т.к. ракету взорвать — проблем меньше, чем проблемы из-за возможных жертв.


      1. za121
        14.08.2017 12:52
        #10256485

        А сколько всего было каналов приема телеметрии, если только 2, то это мало, а что если оба приемника дают ошибку, как минимум нужно иметь третий канал и 1 контрольный, т.е имеем 3 основных приемника и один контрольный. тогда шансы, что врут 1, 2 приемника уравниваются, а луше еще один добавит, чтобы всегда было большинство. тут либо все врут, либо несколько врут — остальные работают штатно, или все работают штатно.

        А 2 приемника это как-то странно, да и банальная диверсия могла быть, зная, как отключением проверки четности можно загубить прием данных.


      1. Wan-Derer
        14.08.2017 22:45
        #10257771

        Очень странно. Если одно оборудование выдаёт ожидаемые данные, а другое постепенно начинает глючить, то подозрение должно пасть именно на то, другое.
        Значит контроль вёлся только подрядчиком, а РЛ принимали только для себя и их данные не учитывались совсем


  1. I-denis
    14.08.2017 09:17
    #10255811
    +5

    Так кто же все таки герой дня, скрывающийся под кодовым названием «Подрядчик», и почему ему было делегировано право управления ракетой при наличии собственной наземной станции и RocketLab


    1. lozga Автор
      14.08.2017 09:24
      #10255837
      +2

      Название фирмы в официальном релизе нет.


    1. gjf800jg
      14.08.2017 13:02
      #10256519
      -3

      это урок в большей степени работы с подрядчиками

      Надо было перемычки паять. А так одни потери: и на тумблерах распилили и ракету угробили!


      1. ilyaplot
        14.08.2017 18:00
        #10257353

        Надо было сначала пост прочитать.


    1. Atreyer
      14.08.2017 17:43
      #10257305

      Контроль пусков и право на подрыв у воякеров.


  1. vconst
    14.08.2017 10:09
    #10255949
    -1

    Интересно, какой счёт выкатили подрядчику за убитую ракету?


    1. Alter2
      14.08.2017 10:38
      #10256003

      Скорее всего никакой — либо страховка, либо в контракте прописано ограничение ответственности.


    1. lubezniy
      14.08.2017 11:53
      #10256251

      Об этом вряд ли напишут, даже если выставят. Может, выставлять будет страховая компания, а это уже будет совсем отдельный вопрос.


  1. cicatrix
    14.08.2017 10:45
    #10256021
    +1

    Скажут: «Виновата девочка».


    1. Fen1kz
      14.08.2017 15:47
      #10257011
      +3

      Я ждал что автор подведет итог типа "девочка может быть любого пола, возраста и на любой должности", а автор скатился в какое-то тупое женоненавистничество. Не надо так!


  1. x67
    14.08.2017 10:50
    #10256031

    Если одна маленькая деталь может погубить ракету, то это плохая ракета. По крайней мере такие нюансы должны были продумать до мелочей, вплоть до индикации выбора не рекомендуемых настроек. Мне почему-то кажется, что это история немного натянута на реальность с целью минимизировать финансовые убытки. Человеческий фактор и хорошо работающая ракета внушают гораздо больше уверенности инвесторам, нежели «сначала все шло нормально, а потом насос каак начал вибрировать, в общем непонятно что там с ним случилось»


    1. voyager-1
      14.08.2017 11:27
      #10256167
      +9

      Если одна маленькая деталь может погубить ракету, то это плохая ракета.
      Это правило не распространяется на системы аварийного прекращения полёта. Тут наоборот, выход единственного параметра за допустимые рамки — отмена старта/подрыв обеспечен. Потому что безопасность в данном случае — это не позволить вышедшей из под контроля ракете упасть кому-нибудь на голову, а не пытаться вывести спутник на орбиту любой ценой.
      Человеческий фактор и хорошо работающая ракета внушают гораздо больше уверенности инвесторам, нежели «сначала все шло нормально, а потом насос каак начал вибрировать, в общем непонятно что там с ним случилось»
      Не выясненная причина поломки — это потенциальная авария в будущем, даже может в отдалённом будущем. А итог таких промашек — это ставки страховок, которые на Протон-М выше почти в три раза, чем для Ariane-5 и Falcon 9. Заметание причин аварии под ковёр — верный способ разорить свою фирму в ближайшем будущем.

      Разница в ставках между 4% для Arian-5, скажем около 5% для Falcon 9 и 10-12% для Протон-М от стоимости спутника — это может быть не просто разница в ценах на запуски, это может быть дороже самого запуска: так «Джеймс Уэбб» застраховать — обошлось бы по цене как десять запусков Протона, и даже спутники связи такие есть, что для них запуск на Ariane-5 — по сравнению с Протон-М вообще «бесплатным» будет, за счёт разницы в страховке.


      1. x67
        14.08.2017 13:52
        #10256691
        +1

        Замалчивание проблем — распространенная политика, к сожалению (я не про космос конкретно, а вообще про фейлы средних и больших компаний). Она не приведет к разорению, если никто не узнает и проблема таки будет решена, но чуть позже, чем ожидается. В любом случае это не более чем предположение, основанное на моем опыте знакомства с некоторыми авиационными системами. Такую ситуацию с вероятностью 99.9% должны были продумать еще на стадии НИОКР.

        Ну и речь шла о штатной системе. Да и переход от детали к параметру у вас выглядит резко. Если проводить аналогии для систем аварийного прекращения полета (САПП), то правило сохраняется — выход из строя одной детали САПП не должен приводить к выходу из строя всей системы.


  1. PavelGatilov
    14.08.2017 11:07
    #10256103
    +4

    Ошибка в первом столбце Single bit error correction. Должно быть нечетное количество единиц, а там 110


    1. RoloTomasi
      14.08.2017 12:03
      #10256267
      +3

      Я даже про коды Хэминга полез читать может упустил думаю чего.


      1. TimsTims
        14.08.2017 16:01
        #10257045

        А я сидел-сидел, перечитывал биты, искал верную логику…

        на случай, если картинку поправят
        была такая
        image


        1. ploop
          14.08.2017 16:19
          #10257091

          Аналогично. Сломал мозг и решил отложить до вечера. А тут вон он что…


    1. lozga Автор
      14.08.2017 12:03
      #10256269

      Угу, ошибка. Вечером поправлю


      1. amarao
        14.08.2017 12:28
        #10256373
        +15

        … сказал подрядчик. /трагикомедия.


        1. lozga Автор
          14.08.2017 20:55
          #10257593
          +1

          О, да. Помню, как летом 2013 года я радовался, что не работаю в космической отрасли, посмотрев новости про падение «Протона»…


    1. mayorovp
      14.08.2017 17:30
      #10257281
      +2

      Там еще одна ошибка — в названии кода. Ну или в структуре, смотря что считать правильным. Код Хемминга с проверкой двойных ошибок для сообщения в 24 бита передает 18 бит данных — а на картинке всего 15...


  1. playnet
    14.08.2017 16:38
    #10257143
    +2

    Насколько я понимаю, подрыв ракеты особо не был проблемой: груз — массогабаритный, все ступени отработали, есть живая телеметрия. Чуть не дотянул то конца, но 90%+ программы выполнено.


    1. lozga Автор
      14.08.2017 20:48
      #10257585
      +2

      Да, почти получилось. Осталось немного — выключение двигателя второй ступени, проверка правильности оценки импульса последействия и отделения полезной нагрузки.


    1. UJIb9I4AnJIbIrUH
      15.08.2017 00:52
      #10257925
      -1

      Ну не знаю, вращение при запуске там, где его быть не должно это всё таки не очень-то здорово. Это же по сути означает, что в таком виде бортовому компьютеру придётся постоянно заниматься корректировкой полёта вместо полёта "по заранее разработанному плану".


  1. mistik_max
    14.08.2017 19:45
    #10257499

    Отличное исследование, респектую автора, как раз интересовала тема электрона


  1. fotofan
    15.08.2017 01:03
    #10257937
    +2

    Жду публикацию на тему «Как взрывают ракеты, если что-то пошло не так»


    1. dmitry_ch
      15.08.2017 12:35
      #10258603

      Так Чертока почитайте, там это отлично изложено.