Старт РН Electron, фото Rocket Lab
Хронология событий
25 мая, после трех переносов из-за погоды, состоялся первый испытательный пуск частной сверхлегкой ракеты-носителя Electron. Ракета, отличающаяся интересными техническими решениями и предназначенная для выведения до 225 килограмм на низкую орбиту, в этом пуске летела с габаритно-весовым макетом полезной нагрузки. По циклограмме полета первая ступень успешно отработала две с половиной минуты и отделилась. Вторая ступень запустила двигатель и штатно продолжала полет. В начале третьей минуты были благополучно сброшены створки головного обтекателя. Ракета достигла высоты 224 км, и в твиттере Rocket Lab написали, об успешном достижении космоса, но после четырех минут полета с ней пропала связь по основному каналу. Несмотря на то, что ракета летела над морем и не могла упасть не то, что в густонаселенные места, а вообще на сушу, были приняты правила, по которым в случае потери связи с земли передавалась команда на подрыв ракеты. В итоге «Электрон» не вышел на орбиту.
Основная версия аварии появилась очень быстро, но расследование заняло два месяца, чтобы исключить возможность ошибки. Оказалось, что канал связи, с которым работали операторы аварийного прекращения полета, обеспечивался подрядчиком. Параллельно телеметрию с ракеты по другому каналу получали специалисты Rocket Lab. И если по каналу подрядчика телеметрия стала портиться и в конце концов пропала, то по каналу Rocket Lab был виден нормальный полет вплоть до передачи команды на аварийный подрыв. Получается, что по какой-то причине взорвали нормально летящую ракету. И эту причину нашли в оборудовании, точнее, настройках оборудования подрядчика — там было выключено помехозащищенное кодирование (Forward error correction, FEC).
Помехи и тумблер
Когда ракета стояла на стартовом столе, она была близко к принимающим устройствам, и уровень сигнала телеметрии был очень высоким. После старта она стала удаляться, и мощность сигнала стала падать. Точнее, стал падать уровень сигнал/шум — сигнал от ракеты ослабевал, а фоновый радиошум оставался на прежнем уровне. В результате в какой-то момент шум стал забивать полезный сигнал, и качество телеметрии упало ниже допустимого. Над проблемой передачи информации по каналу связи с помехами задумались еще в середине прошлого века, и еще тогда придумали общий принцип — вместе с полезной информацией передается дополнительная, по которой, при наличии ошибок, можно восстановить то, что было передано. Простейший пример из 1950 года — код Хэминга:
Слева — исходное сообщение. За линиями справа и внизу — специальные контрольные биты, в данном случае показывающие четность количества единиц строки или столбца. В правой части в сообщение вкралась ошибка (отмечена красным). По значению контрольных битов можно исправить ошибку и восстановить исходное сообщение — во второй строке количество единиц должно быть четным, и во втором столбце — тоже. Следовательно, в ячейке на пересечении второго столбца и второй строки должна быть единица, а не ноль.
Возвращаемся к «Электрону». Кроме проверки настроек оборудования Rocket Lab провела натурный эксперимент — записанный с ракеты сигнал воспроизвели повторно с с аналогичным уровнем мощности, и с включенным помехозащищенным кодированием оборудование подрядчика приняло телеметрию без проблем.
В результате получилась трагикомическая и очень поучительная история — неправильного положения всего одного переключателя хватило, чтобы уничтожить здоровую ракету. Для Rocket Lab это урок в большей степени работы с подрядчиками, чем конструирования ракет, опыт, пусть горький, но полезный. Устранить такую проблему просто, и Rocket Lab пишут, что уже изменили свои процедуры. Для космонавтики в целом подобные ошибки не новость, мне, например, вспоминается история, как в начале трансляции выхода на поверхность Луны операторы одной из станций связи, нажимая не те кнопки, сначала перевернули Армстронга вверх ногами, а затем, пытаясь исправить ситуацию, еще и инвертировали цвета.
Польза и будущее
Первый полет «Электрона» вскрыл и реальную проблему. На видео можно заметить, что на участке работы первой ступени ракета медленно вращалась. Скорость была недостаточной для стабилизации вращением, и в целом для полноценной системы управления, которая стояла на ракете, такая стабилизация не нужна. Но и на серьезную аварию это не походило — ракета сохраняла управляемый полет. Оказывается, что это все-таки была ошибка при проектировании, и вращаться в нормальном полете «Электрон» не должен. Теперь об этой ошибке узнали, и к следующему пуску ее должны исправить.
Второй полет «Электрона» планируется провести в начале октября. На нем все так же не будет настоящего спутника. Уже известно название — «Все еще испытываем» («Still testing»). Радует, что Rocket Lab сохранили чувство юмора. Ошибки и неудачи, увы, неизбежны, но судя по серьезности подхода, который виден в работе Rocket Lab, они смогут извлечь из них полезные уроки.
Комментарии (49)
I-denis
14.08.2017 09:17+5Так кто же все таки герой дня, скрывающийся под кодовым названием «Подрядчик», и почему ему было делегировано право управления ракетой при наличии собственной наземной станции и RocketLab
vconst
14.08.2017 10:09-1Интересно, какой счёт выкатили подрядчику за убитую ракету?
Alter2
14.08.2017 10:38Скорее всего никакой — либо страховка, либо в контракте прописано ограничение ответственности.
lubezniy
14.08.2017 11:53Об этом вряд ли напишут, даже если выставят. Может, выставлять будет страховая компания, а это уже будет совсем отдельный вопрос.
cicatrix
14.08.2017 10:45+1Скажут: «Виновата девочка».
Fen1kz
14.08.2017 15:47+3Я ждал что автор подведет итог типа "девочка может быть любого пола, возраста и на любой должности", а автор скатился в какое-то тупое женоненавистничество. Не надо так!
x67
14.08.2017 10:50Если одна маленькая деталь может погубить ракету, то это плохая ракета. По крайней мере такие нюансы должны были продумать до мелочей, вплоть до индикации выбора не рекомендуемых настроек. Мне почему-то кажется, что это история немного натянута на реальность с целью минимизировать финансовые убытки. Человеческий фактор и хорошо работающая ракета внушают гораздо больше уверенности инвесторам, нежели «сначала все шло нормально, а потом насос каак начал вибрировать, в общем непонятно что там с ним случилось»
voyager-1
14.08.2017 11:27+9Если одна маленькая деталь может погубить ракету, то это плохая ракета.
Это правило не распространяется на системы аварийного прекращения полёта. Тут наоборот, выход единственного параметра за допустимые рамки — отмена старта/подрыв обеспечен. Потому что безопасность в данном случае — это не позволить вышедшей из под контроля ракете упасть кому-нибудь на голову, а не пытаться вывести спутник на орбиту любой ценой.
Человеческий фактор и хорошо работающая ракета внушают гораздо больше уверенности инвесторам, нежели «сначала все шло нормально, а потом насос каак начал вибрировать, в общем непонятно что там с ним случилось»
Не выясненная причина поломки — это потенциальная авария в будущем, даже может в отдалённом будущем. А итог таких промашек — это ставки страховок, которые на Протон-М выше почти в три раза, чем для Ariane-5 и Falcon 9. Заметание причин аварии под ковёр — верный способ разорить свою фирму в ближайшем будущем.
Разница в ставках между 4% для Arian-5, скажем около 5% для Falcon 9 и 10-12% для Протон-М от стоимости спутника — это может быть не просто разница в ценах на запуски, это может быть дороже самого запуска: так «Джеймс Уэбб» застраховать — обошлось бы по цене как десять запусков Протона, и даже спутники связи такие есть, что для них запуск на Ariane-5 — по сравнению с Протон-М вообще «бесплатным» будет, за счёт разницы в страховке.x67
14.08.2017 13:52+1Замалчивание проблем — распространенная политика, к сожалению (я не про космос конкретно, а вообще про фейлы средних и больших компаний). Она не приведет к разорению, если никто не узнает и проблема таки будет решена, но чуть позже, чем ожидается. В любом случае это не более чем предположение, основанное на моем опыте знакомства с некоторыми авиационными системами. Такую ситуацию с вероятностью 99.9% должны были продумать еще на стадии НИОКР.
Ну и речь шла о штатной системе. Да и переход от детали к параметру у вас выглядит резко. Если проводить аналогии для систем аварийного прекращения полета (САПП), то правило сохраняется — выход из строя одной детали САПП не должен приводить к выходу из строя всей системы.
PavelGatilov
14.08.2017 11:07+4Ошибка в первом столбце Single bit error correction. Должно быть нечетное количество единиц, а там 110
RoloTomasi
14.08.2017 12:03+3Я даже про коды Хэминга полез читать может упустил думаю чего.
TimsTims
14.08.2017 16:01А я сидел-сидел, перечитывал биты, искал верную логику…
на случай, если картинку поправятбыла такая
mayorovp
14.08.2017 17:30+2Там еще одна ошибка — в названии кода. Ну или в структуре, смотря что считать правильным. Код Хемминга с проверкой двойных ошибок для сообщения в 24 бита передает 18 бит данных — а на картинке всего 15...
playnet
14.08.2017 16:38+2Насколько я понимаю, подрыв ракеты особо не был проблемой: груз — массогабаритный, все ступени отработали, есть живая телеметрия. Чуть не дотянул то конца, но 90%+ программы выполнено.
lozga Автор
14.08.2017 20:48+2Да, почти получилось. Осталось немного — выключение двигателя второй ступени, проверка правильности оценки импульса последействия и отделения полезной нагрузки.
UJIb9I4AnJIbIrUH
15.08.2017 00:52-1Ну не знаю, вращение при запуске там, где его быть не должно это всё таки не очень-то здорово. Это же по сути означает, что в таком виде бортовому компьютеру придётся постоянно заниматься корректировкой полёта вместо полёта "по заранее разработанному плану".
mistik_max
14.08.2017 19:45Отличное исследование, респектую автора, как раз интересовала тема электрона
snnrman
Не понятно только, почему перед уничтожением ракеты подрядчик не связался с Rocket Lab, у которых была четкая связь.
lzb_j77
Видимо, девочки-телефонистки не обеспечивают приемлимое время соединения. А за это время ракета полетит не туда и сделает не то :)
lozga Автор
Скорее всего, оборудование подрядчика считалось основным (сертифицировано, например), а оборудование Rocket Lab — экспериментальным и вспомогательным. Плюс, наверняка в алгоритм прекращения полета не прописали вариант «спросить другие каналы»
Smbdy_kiev
Если нет связи, как передать?
Мне кажется, что с точки зрения ракеты, если не получаешь, например, ежеминутный пинг с Земли, подорвись после третьеё минуты отсутствия связи… Ну, так логичней, вроде как. А вот что на самом деле?
lozga Автор
А там отдельная цепь, скорее всего. Ненаправленный приемник (чтобы принять в любом положении) слушает на ракете, а с Земли передается мощный сигнал.
za121
подрыв ракеты должен быть, только в крайнем случаи- резкое изменение траектории полета. если все идет штатно и всего то пропала связь, то бортовой компьютер должен отработать программу вывода, а дальше пусть на земле думают, что там случилось с носителем.
prospero78su
Так делать нельзя. Космос не прощает ошибок.
fedorro
А если бы это резкое изменение началось после того как ракета ушла на такое расстояние, что и команда на подрыв бы не сработала? И это реально, т.к. её «крутило».
za121
Я думаю подобные ситуации уже заложены в программу пуска и сам бортовой компьютер может сам дать команду на подрыв кардинально нештатной ситуации. Ну хотелось бы верить, что такое есть, а не только из цупа могут подорвать. Смысл уничтожать ракету с нагрузкой, если она штатно летит, но пропала связь? Я понимаю, что при сильном крене или диких вибрациях, крутилках, можно и нужно ракету уничтожить, но вот если она летит и все норм, то зачем? или все управление идет в ручном режиме, тогда понятно почему ее взорвали.
fedorro
Ну это после расследования легко рассуждать. А когда есть минута на решение, и не понятно, просто тумблер отключен или вся электроника полетела, включая ту, которая возможно за автоподрыв отвечает — уже не до раздумий, поэтому и есть инструкции, чтобы избавить от мук выбора, т.к. ракету взорвать — проблем меньше, чем проблемы из-за возможных жертв.
za121
А сколько всего было каналов приема телеметрии, если только 2, то это мало, а что если оба приемника дают ошибку, как минимум нужно иметь третий канал и 1 контрольный, т.е имеем 3 основных приемника и один контрольный. тогда шансы, что врут 1, 2 приемника уравниваются, а луше еще один добавит, чтобы всегда было большинство. тут либо все врут, либо несколько врут — остальные работают штатно, или все работают штатно.
А 2 приемника это как-то странно, да и банальная диверсия могла быть, зная, как отключением проверки четности можно загубить прием данных.
Wan-Derer
Очень странно. Если одно оборудование выдаёт ожидаемые данные, а другое постепенно начинает глючить, то подозрение должно пасть именно на то, другое.
Значит контроль вёлся только подрядчиком, а РЛ принимали только для себя и их данные не учитывались совсем