Спустя 6 суток после падения аппарата «Берешит» на лунную поверхность, команда SpaceIL официально озвучила интригующую версию аварии на Луне 11 апреля 2019 года. И возникает еще больше вопросов о случившемся.
Обновлена информация по аварии на 18.04.2019.
В продолжении этой публикации.
Официальная от SpaceIL на данный момент последняя фотография с аппарата «Берешит» (15 км до поверхности Луны):
Вот привязка по местности на это фото:
Предварительные результаты расследования аварии: в процессе посадки бортовым компьютером была активирована команда, исполнение которой привело к фатальному результату для миссии
Here are the findings of the preliminary investigation of Beresheet’s landing maneuver: It appears that during the landing process a command was entered that led to a chain reaction, which caused the main engine to switch off and prevented it from being reactivated.
«Похоже, что во время процесса посадки была введена команда, которая привела к цепной реакции, вызвавшей отключение основного двигателя аппарата и не позволила возобновить его работу далее.»
Обновление от 18.04.2019:
Все же авария из-за команды, полученной от оператора во время посадки — нервы, нет времени анализировать ситуацию, основной блок IMU1 (inertial measurement unit) в нештатном режиме, оператор посылает команду на активацию запасного блока IMU2, что вызвало далее критические последствия в работе бортового компьютера (зависание, перезагрузку) и отказ двигателя.
"A command intended to correct a malfunction in one of the Beresheet spacecraft’s inertial measurement unit led to a chain of events that turned off its main engine during landing, according to a preliminary investigation conducted by SpaceIL".
Таким образом, возможно, что это была программная\человеческая ошибка (ввод команд происходил оператором или инженерами в ЦУП) в процедуре посадки аппарата «Берешит».
Список команд и режимы работы с аппаратом «Берешит» утверждались и передавались только из ЦУП SpaceIL. Инженеры SpaceIL создавали патчи для бортового компьютера аппарата, проверяли их работоспособность и функциональность, а также готовили команды для процедуры посадки.
Интересно, перехватить управление аппаратом и внедрить в его бортовой компьютер дополнительный код\команду, теоретически, возможно было сделать или там все же была определенная защита от внешнего несанкционированного доступа?
Ведь при посадке время шло на секунды и операторы могли проморгать ситуацию с получением аппаратом чужих команд. Хотя, в этот момент операторы также колдовали в ручном режиме, пытаясь работать с аппаратом. Может тут тоже случилась нестыковка по введенным командам в одно время.
Но, скорее всего, тут была ошибка в «своем» коде (может она была в одном из многочисленных патчей, которые передавались на бортовой компьютер после каждой его перезагрузки), в котором содержалась фатальная команда.
Умышленно или случайно была введена эта команда, которая привела к аварии — этот факт останется закрытым, скорее всего, хотя ждем окончательных результатов в ближайшее время от SpaceIL, которые они пообещали обязательно опубликовать.
Что известно об аппаратных и программных компонентах аппарата «Берешит»:
— бортовой компьютер один (1), не продублирован (было несколько перезагрузок компьютера в процессе полета до Луны);
— программный код управления, команды и работа с бортовым компьютером — на языке С;
— из-за того, что компьютер только один, при перезагрузке все обновления (патчи) стираются и их нужно дополнительно загружать заново в систему;
— скорость передачи данных низкая: одна фотография большого разрешения (с камеры 8 Mpx) загружается 40 минут;
— DLR (Немецкий аэрокосмический центр) проводил тестирование механизма посадки аппарата «Берешит»;
— команда в ЦУП SpaceIL: большинство — это инженеры космической отрасли и ученые-физики, несколько молодых ученых и инженеров, которые только изучают системы спутникового управления.
Когда мог быть внедрен код с этой фатальной командой? Скорее всего, при поготовке к процедуре посадки.
Но команда в бортовом компьютере сработала уже после прохождения аппаратом «точки невозврата», когда начался автоматический управляемый только бортовым компьютером процесс посадки.
Хотя в ЦУП SpaceIL была попытка в режиме ручного управления повлиять на ситуацию с аппаратом при посадке.
На расстоянии 800 км от места посадки начинаются посадочные процедуры:
Аппарат «Берешит» получит серию команд из ЦУП:
Будут активированы датчики посадки (основной и резервный):
Будет начата процедура изменения положения (ориентации) аппарата «Берешит»:
После окончания подготовительных процедур перед посадкой, у бортового компьютера аппарата «Берешит» и в ЦУП будет возможность оценить состояние систем и готовность к посадке, если что-то будет работать некорректно, то процедура посадки будет отменена, если все штатно, то после начала следующего этапа посадки больше никакой отмены сделать уже не получится:
Если все идет штатно, то аппарат «Берешит» начнет снижать свою орбитальную скорость и уменьшать расстояние до поверхности Луны с помощью основного и вспомогательных двигателей, эта процедура займет 15 минут:
Видео посадки:
Что происходило, согласно видео посадки, с аппаратом (времена указаны из видеоролика):
23:03 Индикатор телеметрии стал зеленым. Режим: ориентация.
25:04 Режим: торможение.
25:20 Пройдена «точка невозврата».
25:26 Индикатор «точки невозврата» стал черным.
25:52 Индикатор вертикальной скорости зеленый.
28:16 Индикатор телеметрии перестал быть зеленым.
28:20 Индикатор телеметрии на мгновение стал зеленым, потом перестал быть зеленым.
29.37 Дистанция: 210 км.
29:50 Дистанция изменяется на 385 км.
30:03 Дистанция изменяется на 370 км.
30:40 Индикатор телеметрии стал зеленым.
30:51 Дистанция изменяется на 314 км.
31:33 Показана картинка-селфи с Луной. Высота около 22 км? Индикатор телеметрии стал зеленым.
31:50 Индикатор телеметрии перестал быть зеленым.
31:55 to 32:29 "[неразборчиво] убить его (процесс?)." "[еще неразборчивее] занят"
(тут инженеры уже в режиме ручного управления пытаются бороться с возникшей нештатной ситуацией)
32:48 Показывается экран телеметрии. Индикатор телеметрии желтый. Высота 14095 м. Горизонтальная скорость 955.5 м/с. Вертикальная скорость 24.8 м/с. Основной двигатель включен. Ячейка «горизонтальная скорость» желтая. Другие параметры показаны зелеными, за исключением индикатора телеметрии.
32:49 Все двигатели включены.
32:51 Все двигатели выключены.
32:55 Основной двигатель включен.
32:57 Все двигатели включены.
32:59 Основной двигатель включен. Дистанция: 183.8 км.
33:01 — 33:03 «датчик IMU не в порядке»
33:02 Все двигатели включены.
33:05 Основной двигатель включен.
33:07 Все двигатели включены.
33:09 Основной двигатель включен.
33:11 Все двигатели включены.
33:13 Основной двигатель включен.
33:16 Все двигатели включены.
33:20 Индикатор телеметрии стал зеленым. Все двигатели выключены. Все картинки замерли (нет изменений в показаниях).
33:32 Индикатор телеметрии перестал быть зеленым. Все двигатели выключены. Все картинки замерли (нет изменений в показаниях).
34:24 Индикатор телеметрии стал зеленым. Все двигатели выключены.
36:25 — 36:33 «Проблемы с основным двигателем. Мы перезагружаем бортовой компьютер, чтобы включить двигатель.»
Попытка стенографирования слов диктора и инженеров в процессе посадки (тайминг другой, но суть и секунды такие же):
7:37:37 — IMU2 Not OK
7:37:50 — [not clear] will try to enable it.
7:37:57 — Someone is asking if it [unclear what 'it' is]will cause us to swith to the 2nd [something]
7:38:10 — Lost connection from JPL
7:38:34 — We lost one IMU and we lost connection to JPL, the two should not be related.
[in the background someone says something about restarting the IMU]
7:38:39 — Do not enable IMU2
7:38:52 — What you see on the screen is not correct, there is currently no telemetry
7:39:06 — [in english] we lost telemetry, but we have telemetry back now.
7:39:23 — We passed altitude 10km
7:39:29 — Velocity below 900 m/s
7:39:34 — Reminder that we need to reach a velocity of 0
7:39:47 — The engine is running there is an increase in pressure [unclear] to 5 bar[?], «Interesting»
7:39:52 — 2nd image downloaded.
7:40:06 — [Anouncer starting saying something about the laser landing sensor]. [in the background — unclear but it seems like he said the engine is not running]
7:40:13 — We may have a problem with the main engine.
7:40:17 — Do a reset [They had mentioned earlier in the broadcast that they can send commands to the spacecraft during the landing process]
7:40:24 — What do you want?
7:40:28 — Situation seems no good, no main engine.
7:40:33 — 2nd image received.
7:40:40 — Losing altitude
7:41:07 — [In english] We seem to have a problem with the main engine, we are resetting the spacecraft to try to enable the engine
7:41:10 — Is there approval to send [unclear]?
7:41:15 — The main engine is now running, based on [pressure measurements]
7:41:19 — Main engine back on. [and again in english]
7:41:27 — Lost alot of altitude, situation unclear.
7:41:32 — Lost connection with JPL
7:41:45 — We now have a connection only via ssc[??] not thru nasa, but we have a connection with the spacecraft.
7:41:49 — Lost telemetry
7:41:52 — We are now without telemetry
7:41:57 — [english] The main engine is on but we lost communication
7:42:10 — We will wait a moment for [evalution] from [unclear]
7:42:17 — We suspect that we did not land [unclear] still evaluating
7:42:56 — We are without telemtry and suspect we lost the spacecraft.
7:43:16 — All indications are that unfortunately we will not be the 4th nation to land on the moon.
7:43:33 — We are on the moon, but no the way we wanted to be.
Последние 4 секунды жизни аппарата по данным в ЦУП (с 678 до 149 метров снижение):
В 19:23 данные телеметрии совсем перестали поступать.
У инженеров SpaceIL сейчас есть все данные, листинги команд и патчи, которые они отправляли на аппарат «Берешит» после каждой перезагрузки бортового компьютера, также есть возможность исследовать всю эту информацию более тщательно и проанализировать процедуру посадки до возникновения аварии на аппарате.
Если действительно тут не только некорректные данные от внешних датчиков привели к трагедии, а еще и программный код, который обрабатывал эти данные или даже случайно выводил аппарат в аварийную ситуацию, то это только с опытом далее можно разрешить и предотвратить еще на стадии создания кода до отправки на космический аппарат.
Председатель SpaceIL Моррис Кан сказал: «Я горжусь командой инженеров SpaceIL за их замечательную работу и преданность делу, к сожалению аварии зачастую являются неотъемлемой частью такого сложного и новаторского проекта. Сейчас важно максимально усвоить полученные уроки, изучить ошибки и смело продолжать идти вперед».
Кстати, аппарат «Берешит» на орбите Луны и во время посадки использовал бортовой магнетометр и передал в ЦУП SpaceIL некоторую часть научных данных о магнитном поле Луны.
Таким образом, часть своей научной небольшой программы он все же выполнил!
Обновленные данные по ошибке при аварии:
Завершившийся первый этап расследования сводился к изучению фактов и последовательности событий. В процессе полета происходили перебои со связью, но аппарат «Берешит» продолжал функционировать в заданном режиме. Так было до момента, когда аппарат приступил к посадке на лунную поверхность.
В ходе расследования было установлено, что одна из команд, переданных из центра управления полетом, не была выполнена, что привело к цепи последующих сбоев: двигатель перестал работать, а сам аппарат упал на поверхность.
Сбой был выявлен в работе датчика акселерометра, называемом UMI (отвечает за ускорение). Пока точно не установлено, почему последовал отказ, который привел к последующим негативным реакциям системы.
Команда на активацию датчика ускорения была направлена из ЦУП SpaceIL.
После того, как последовал отказ, были предприняты попытки перезапустить двигатель альтернативными способами, но они не увенчались успехом.
Все происходило в условиях жесточайшего временного цейтнота: сбой произошел на последних секундах миссии, которую в итоге завершить не удалось.
Бортовой компьютер аппарата «Берешит» также пытался произвести автономную перезагрузку двигателя — таких попыток было 5-6. Но все они оказались безрезультатными.
Возможно, произошло несогласованное между инженерами выполнение команд на аппарате по включению запасных модулей (IMU2), которое привело далее к новым проблемам и аварии.
The spacecraft was using IMU 1 and was not initially affected by the failure of IMU 2.
One engineer asks if they should attempt to enable IMU 2 and another engineer asks 'would that cause the system to switch to it (presumably 'it' means IMU 2).
Perhaps despite the word of caution from the 2nd engineer someone did send a command to attempt to restart IMU 2 and perhaps that is what they mean by a bad command starting a chain of events…
Комментарии (113)
pda0
17.04.2019 19:20Кстати, аппарат «Берешит» на орбите Луны и во время посадки использовал бортовой магнетометр и передал в ЦУП SpaceIL некоторую часть научных данных о магнитном поле Луны.
Понимаю, что шутка уже с бородой будет, но… Интересно, хватит ли этого, чтобы что-нибудь анлокнуть? ;-)
Marsikus
17.04.2019 20:07Интересно, хватит ли этого, чтобы что-нибудь анлокнуть?
Если вы про ачивки, то XPRIZE «Moonshot Award» они заслужили.pda0
17.04.2019 22:28Я скорее про технологии за заработанные очки науки. :)
Assimilator
17.04.2019 23:33+1Анлок скилла «уволить этих прогромистов нах».
agat000
18.04.2019 04:27Была такая игра, Sword of the srar, хххх-жанра. Там научное исследование могло тупо не завершиться, типа произошла авария. Несколько ходов игры псу под хвост. Бесило страшно. Хотя игра хорошая была.
dfgwer
18.04.2019 06:10Это шутка связанная с Kerbal Space Program. Проводя научные измерения и передав ее землю, получаешь очки науки. Которые тратятся на «анлок» новых деталей.
И да, там часто бывает что научная программа выполняется частично из-за потери аппарата.
ainoneko
17.04.2019 20:10-1программный код управления, команды и работа с бортовым компьютером — на языке С;
Что-нибудь известно об использовании разработчиками средств статического анализа?
Arcuen
18.04.2019 11:07+3Мне кажется, что MISRA уже давно мастхэв во всем подобных проектах. Тем не менее, статический анализ поможет в предотвращении только самых явных ошибок, а если программист решил затупить, его ничто не остановит.
ILya63
17.04.2019 20:38-2Наверняка аппарат был застрахован, а сейчас с опытом и страховкой можно построить новый.
third112
17.04.2019 21:0036:25 — 36:33 «Проблемы с основным двигателем. Мы перезагружаем бортовой компьютер, чтобы включить двигатель.»
Последние 4 секунды жизни аппарата по данным в ЦУП (с 678 до 149 метров снижение)
За 4 сек. комп не перезагрузить. Почему не обеспечили возможность включения основного двигателя по прямой команде с Земли?
Ср.:
при всех посадках на Луну, начиная с Нила Армстронга, – все астронавты выключали автоматическую посадку и садились вручную, пользуясь при этом информацией бортового компьютера, аналогично было при посадке Шатлов на Землю
d2ab
17.04.2019 21:12+1Астронавты видели куда летят, как сохранять ориентацию, здесь же мгновенной информации о положении аппарата нет. Попробуйте посадить обычный дрон без стабилизации, вручную регулируя скорость каждого пропеллера, да еще и отвернувшись.
third112
17.04.2019 21:26В своем вопросе я исходил из прочитанного: «чтобы включить двигатель» — т.е. всего 1 двигатель, а не каждый из нескольких (4х?) пропеллеров. Охотно верю, что в штатном режиме комп справится лучше, чем люди на Земле, но комп был во внештатном режиме — раз его хотели перезагрузить. И почему не было 2го бортового компа?
d2ab
17.04.2019 21:34+1Без компьютера, управляющего боковыми маневровыми движками, он тут же начнет вращаться в произвольном направлении. А к вопросам «а почему не поставили еще ...» — там каждый грамм на счету, иначе полулюбительский проект за 100 млн превратится в полноценный «Апполон» за 100500.
third112
17.04.2019 21:41там каждый грамм на счету
Сколько весит бортовой комп?
Без компьютера, управляющего боковыми маневровыми движками, он тут же начнет вращаться в произвольном направлении
Его пытались перезагрузить. Значит пошли на вариант «Без компьютера». Читаю, что написано в статье. Но м.б. есть другие источники, где сказано иначе?d2ab
17.04.2019 21:55Вес компа не знаю, но вряд ли мало, к примеру отказавший инерциальный датчик весит 55 грамм и потребляет 2вт, в отличии от бытового, представляющего из себя микросхемку с ничтожным потреблением.
Сомневаюсь, что двигатели можно включить без компьютера — кто же примет команду?third112
17.04.2019 22:01Ну, вот и Вы не знаете, как и я. Но интересно: у кого-то претензии к моему вопросу — он/она всё знает? Автор написал что-то мне непонятное — могу я об этом спросить?
port443
18.04.2019 00:08Вы думаете, что там домашний компьютер установлен? Это почему же за 4 секунды не перезагрузить?
И про ручную посадку: не забывайте про расстояние и задержку распространения сигнала. Когда-то луноходы были с непосредственным управлением, и операторов предварительно обучали управлению с отстающим изображением. Для посадки это слишком большая задержка.
Elmot
18.04.2019 14:09+2За 4 сек. комп не перезагрузить.
Почему Вы так решили? Bare metal без OS перезагружается за десятки миллисекунд.
BalinTomsk
17.04.2019 21:10пишут один датчик — один компютер? напомнило Боинг Мах.
Ожидал что то?
— зафиксирована некорректная работа одного из 3 дублирующих датчиков.
основной компютер отключен, активирован дублирующий, 3 компьютер из хородного режима переведен в дублирующийd2ab
17.04.2019 21:39Датчиков было как минимум два, отказал IMU2. Поставить еще, наверно, не позволял вес.
DryominG
18.04.2019 00:45Там всего 55 грам, это слишком мало. Скорее (1) цена в пару сот тысят долларов с обвязкой и (2) первый работал исправно, датчик номер 2 просто ввзвал неожиданные сбои, т.ч. не в избыточности датчиков ускорения было дело.
saag
18.04.2019 07:00У меня возникает вопрос — ну почему не использовать давно проверенный в миссиях RAD6000? Типа импортозамещение что ли, все должно быть местного производства?
ppl2scripts
18.04.2019 07:00Почему-то сразу было понятно, что проблема с ПО.
Заголовок спойлера«Я что-то нажала, и всё исчезло».Dioxin
18.04.2019 07:42Значит раньше компьютеров ставили аж по 3 штуки, хотя они были огромными, а теперь можно хоть целый кластер засунуть из десятков ЭВМ, но их всего 1.
Что за фигня?
То ли полная деградация инженерной мысли, то ли пофигизм высшего порядка.agat000
18.04.2019 08:05+2Ключевое слово — устойчивость к радиации и перегрузкам. Там габариты и масса немножко больше, а стоимость не немножко.
Dioxin
18.04.2019 08:16Это всё понятно.
И тем не менее, компьютеры за 50 лет стали меньше, легче и дешевле.
Kreuzfeuer
18.04.2019 08:27+2И в той же степени уменьшилась помехоустойчивость к ионизирующим излучениям.
Хотя для приличия второй бортовой они могли поставить, может аппарат даже выжил бы.
Areso
18.04.2019 09:56Можно заказать CPU общего назначения на старом техпроцессе, думаю линии с производством 90нм найти еще можно.
InChaos
18.04.2019 10:58Не то что можно, а их полно, тот же TMSC даже строит новые заводы на 100+ нм. Множеству электроники за глаза такие нормы.
khim
18.04.2019 13:59+2Вот только 90нм и радиационная стойкость не очень сочетаются. Техпроцессы общего назначения «автоматически» обеспечивают радиационную стойкость только при размерах порядка 250-300нм.
Если меньше — уже нужен специальный техпроцесс. А 250nm — это, я извиняюсь, Pentium II, прошлый век, там современные технологии в стиле «100500 слоёв абстракции мало, нужно 100500100500 слоёв» не очень-то поиспользуешь.
fpir
18.04.2019 15:23+1Да пусть в Брянск обращаются, на Кремний. Для уменьшения отбраковки кристаллов их иногда делают 1000нм. На 300нм брак до 70%.
tyomitch
18.04.2019 22:33В прошлом топике про Берешит указывалось, что их процессор выпущен TowerJazz на техпроцессе 180нм.
JerleShannara
19.04.2019 04:28Как и про то, что особенных мегаспецмер для радстойкости там не применили.
Kreuzfeuer
19.04.2019 14:47+1Вы представляете последствия попадания потока тяжёлых высокоэнергетических частиц в 90-нм процессор общего назначения?
Такие частицы запросто прошивают и корпус и кристалл. Эффекты там происходят начиная с произвольной переброски состояний задетых вентилей до их пробоя и появления сквозных токов с питалова на землю. И ещё неизвестно что хуже, моментальное окирпичивание системы или каверзная ошибка в рассчётах, которая испортит данные.
Также стоит помнить о том, что в открытом космосе тепло с этой печки сбрасывать банально некуда и процессор, рассчитанный на наличие условно-бесконечной теплоёмкости среды, перегреется ещё до того как аппарат прилетит куда надо.
DryominG
18.04.2019 10:19+1Помимо "а давайте запихнём побольше, чтобы было", есть множество параметров и методик для выбора рационального решения для конечной конфигурации системы. Интегрировать больше узлов в систему — это не всегда означает повышение устойчивости системы к сбоям. IAI продаёт свои решения по всему миру, главы SpaceIL выходцы из передовых технологических частей Армии Обороны Израиля, т.ч. я не сомневаюсь в их оправданном решении по поводу лишь одного центрального процессора. Составляются FMEA, SWOT как минимум. Знаю, потому что у нас работвет человек, который и был ответственен за FMEA в SpaceIL.
По-моему мнению, всё упёрлось в цену, ибо поставить процессор — это не отдать 0.3 млн долларов за штуку по прайсу, это ещё и обвязка, как электронная, так и механическая, так и термальная, а значит цена намного больше чистых 300 тыс долларов за процессор. В добавок процессор особенный по параметрам устойчивочти, что тоже внесло лепту в решение по установке лишь одной единицы.Dioxin
18.04.2019 10:39+2Помимо «а давайте запихнём побольше, чтобы было
А вот передергивать не обязательно, я просто хочет заострить вопрос на ОДНОМ бортовом компьютере что для космического корабля не допустимо.
Интегрировать больше узлов в систему — это не всегда означает повышение устойчивости системы к сбоям
Это смотря как их организовать — если будут в резерве либо работать в параллель(в кластере) то как раз таки означает. Теория вероятности.
я не сомневаюсь в их оправданном решении по поводу лишь одного центрального процессора
Т.е. логику и математику заменили на „авторитетное мнение“.
Здравствуй, племя младое, незнакомое!
поставить процессор — это не отдать 0.3 млн долларов за штуку по прайсу, это ещё и обвязка, как электронная, так и механическая
Ну а теперь весь корабль пропал — и где здравый смысл?
И дело не только в вероятности выходя из строя, комп может и работать, но с ошибками, поэтому у амеров раньше 3 компа работали параллельно и верным считался результат который был посчитан большее кол-во раз.DryominG
18.04.2019 16:17Дело в том, что я верю в инженеров и их авторитетное мнение как людей с дестятками лет стажа из передовых отраслей промышленности в Изриале и секретных частей армии; и знаю людей, работавших в SpaceIL над FMEA, которые после работали рядом со мной и я им доверяю. С Ваших слов, простая математическая статистика "сложить параллельно два процессора, чтобы забэкапить" здесь не работает, ибо количество узлов, которые нужно добавить в систему для возможности работы всех элементов системы, усложняет её. И жаль, что так просто это не работает.
"Я не знаю были ли люди на Луне, но я верю в 400 тыс инженеров, которые трудились на благо этого дела"200sx_Pilot
18.04.2019 21:56+1В данном случае веры в специалистов оказалось недостаточно :(
Но это — опыт, хотя и недешевый.DryominG
19.04.2019 01:18Верить в другие, более спиритуальные вещи, вообще ничего не обещает =) А тут хотя бы опора на науку, инженерию и опыт людей.
А дороговизна опыта, я считаю, здесь мала, ибо за 95 млн долларов разработать космический аппарат, наладить рабочие связи, задействовать промышленность, запустить зонд и организовать шикарную акцию по просвещению — довольно дёшево. Для сравнения, если взять весьма успешные израильские стартапы с опорой на железо, то в них инвестируется в районе указанной суммы.
nochnoy
18.04.2019 09:38-13Простите, не могу удержаться: как вы яхту назовёте, так она и полетит :)
SandroSmith
18.04.2019 09:59+7Лучше бы вы всё-таки удержались. Прочитав пару аналогичных коментариев выше и поняв, что эту тупую шутку уровня третьеклассника тут не любят.
Кстати,как там ваш ник читается? НосГной?
vba
18.04.2019 10:53+4Все равно, молодцы, у них хотя бы до Луны аппарат долетел а не затонул в море-океяне.
Akela_wolf
18.04.2019 11:59-2У меня осталось такое ощущение, что ЦУП просто не был готов к нештатной ситуации при посадке. «У нас сбой, что делать?! Что делать?!» Был ли там человек, который четко понимал логику работы бортовых систем и их реакцию на отдаваемые с Земли команды? Было ли моделирование нештатных ситуаций «в лабораторных условиях» и соответствующая отработка программ бортового компьютера и соответствующих команд с Земли? Я думаю что на этой работе сэкономили, положившись на то что все пройдет без ошибок.
McAaron
18.04.2019 12:57От «последней фотографии» есть ощущение, что это рендеринг — высокочастотная часть пространственного спектра на краях картинки сильно отличается от того, что в центре, что никогда не наблюдается при реальной съемке, и как бы намекает на сглаживание результатов неадаптивной тесселяции.
black_semargl
18.04.2019 13:34+2Из-за особенностей аппаратуры у них «разьехалась» яркость цветовых слоёв в разных местах кадра.
Оно лечится, но вручную.
kurliker
18.04.2019 13:19+4Читаю комментарии и поражаюсь самоуверенным диванным экспертам — это явно не инженеры, уж точно не системщики. Как один из программистов другого космического проэкта в Израиле, могу с уверенностью заявить, что решение задач для таких проэктов является архисложной. Если б было легко, то все делали и побывали бы уже на луне.
Shubinpavel
18.04.2019 13:33+2Ремарка по двигателю. Во время трансляции было такое обсуждение
34:01 — Принято решение IMU-2 не включать.
34:23 — Телеметрия вернулась. Сильно возросла скорость снижения — 47.9 м/сек, и быстро растёт. Упало ускорение по Z — 0.6. Высота 11 км.
34:52 — Скорость снижения в красной зоне, 71 м/сек, продолжает расти, высота 9140.
35:01 — До контролёров доходит, что ГДУ, возможно, не работает.
35:08 — Тем не менее, согласно телеметрии ГДУ работает нормально, давление поднялось до 16.5 бар, расход топлива идёт. Контролёр 1 — «Интересно...»
35:14 — Получена вторая картинка.
35:19 — Контролёр 2 — «Согласно [неразборчиво], ГДУ не работает.
35:24 — Контролёр 1 — »На данный момент ГДУ работает". Расход топлива продолжает идти.
35:27 — Контролёр 3 — «Посмотрите на данные акселерометров, ГДУ не работает». На этот момент скорость снижения уже 100 м/сек, высота 5600.
35:39 — Систему предлагают перезагрузить. Reset.
Моя рабочая версия событий.
При выключении двигателя пропала тяга и наступила невесомость. Из-за тряски топливо смешалось с газом наддува и образовало газово-жидкостную взвесь. И когда прошло включение двигателя, то газ выдавливал в камеру уже именно эту взвесь, которая толком не воспламенялась. Осадить топливо не успели. Тем более что «резет» возможно опять обесточил двигатели и опять временно наступила невесомость.
vvzvlad
18.04.2019 16:05Мне казалось, что ситуация, при которой топливо может перемешаться с газом наддува, довольно типична, а значит, должны быть приняты меры против этого, не?
Shubinpavel
18.04.2019 16:34+2Конечно. На АМС для этих целей обычно применяются надувные мешки/мембраны в баках с топливом. Из-за чего смешение компонентов с газами наддува не происходит и можно запускать двигатели и в невесомости. Но на Берешите применили другой метод, более простой, который обычно применяют на РБ и ступенях ракет. Предварительная осадка топливом двигателями малой тяги. Метод рабочий, но на осадку нужно время. Которого нет при маневрах около Луны. Также он хорошо работает только если топлива в баках много. Больше чем газа наддува. А у Берешита оставалось 76 кг топлива из где-то 400 кг в начале полета и 216 в начале спуска с орбиты спутника Луны
black_semargl
18.04.2019 17:07Я не вижу у него отдельных баков для движков малой тяги.
А вот из-за неправильного даже на короткий период соотношения компонентов движок мог поломаться.Shubinpavel
18.04.2019 17:15Возможно дмт работали за счет разложения гидразина. Просто иначе в осадке топлива, что была перед основным торможением, нет смысла
black_semargl
19.04.2019 04:52Возможно для них есть мелкий промежуточный бак.
ДМТ только называются малой, реально у них тяга (суммарная) в половину тяги основного. И расход соответственно.
Tzimie
— из-за того, что компьютер только один, при перезагрузке все обновления (патчи) стираются и их нужно дополнительно загружать заново в систему;
Что за бред?
CHolfield
Кластер такой без файловера, еврейский.
BlackMokona
Чтобы очередной патч не окерпичил систему, система сбрасывается до заводских при любой проблеме
Igor_Shumilov
Вроде разумно. Кроме тех моментов, когда патчей становится слишком много, а времени для их последовательной установки и возвращению к нормальной работе мало.
BlackMokona
В теории патчей вообще не должно быть и всё проверено 100500 раз до вылета.
VT100
Вояджер — патчили (не помню что).
Опотьюнити — патчили (чуть не потеряли через неделю после примарсения из-за ошибок в распределении памяти — спас «железный» командоаппарат принудительно включавший радиосвязь по расписанию).
Новые Горизонты — патчили (какая-то ошибка с учётом Допплера не позволяла развить нужную пропускную способность связи).
REPISOT
Вояджеру одним из обновлений заменили кодирование на манчестерский код и подняли скорость передачи данных. Это не исправление косяков, это усовершенствование.
Dioxin
Именно. Вояджер адаптировали к жизни после разных поломок и большом удалении от земли и солнца.
corvair
Ага, там ещё обошли сбойную ячейку памяти.
Vinitski
Это в Пионере-10
corvair
Всё-таки в Вояджер-2
aleksandros
Читал когда-то про Опортьюнити. То, что я помню — там патчили из-за атмосферы Марса. Где-то она плотнее, где-то разреженнее и вот аппарат делал какие-то замеры, на основании которых уже проводились корректировки курса с Земли.
VT100
Контаминация… не Opportunity, а его близнец — Spirit. Абзац "«Spirit». 18-й сол. Аномалия"
Отчёт «The Mars Rover Spirit FLASH Anomaly» (Glenn Reeves, Tracy Neilson, Jet Propulsion Laboratory).
Рекомендации после «разбора полётов» — «MER Spirit Flash Memory Anomaly (2004)».
aleksandros
Спасибо, интересно.
Marsikus
На Voyager 2 в 2010 году произошел bit flip в памяти, пришлось патчить, чтобы запретить использовать поврежденный участок памяти.
p_fox
Это понятно, что сбрасывается, но почему патчи не хранить рядом, и просто по команде с Земли подгружать нужные после перезагрузки?
agat000
Возможно повреждение носителя радиацией. Имхо. А дистанционно придёт гарантированно чистый код.
Arcuen
Тогда на чём хранится код базовой прошивки?
S-trace
Mask ROM, скорее всего.
Именно что прошивка, «железно» зашитая в кристалл на фабрике.
QDeathNick
Сейчас бы в 2019 году гадать и надеяться, что код на носителе не повреждён.
Есть же CRC и куча более продвинутых систем коррекции ошибок на носителях.
Arcuen
Мне кажется, что есть 2 возможных причины:
slonpts
Интересно, а делают ли на космических аппаратах виртуалки? И делали ли на Берешит?
Что-то вроде такого: хост система — очень простая, отвечает только за запуск виртуалки и связь с Землей. Гостевая система — обновляемый код, отвечающий за все остальное. Хост систему, возможно, даже удастся полностью верифицировать.
Будет примерно как консоль управления в облачном провайдере, куда можно зайти даже если гостевая система выключена.
Причем виртуалка же может быть сравнительно простой, типа JVM или виртуальной машины Erlang. Если все же идет борьба за такты — поставить 2 процессора, веса это добавит довольно немного.
Arcuen
Вы что, какие виртуалки на оборудовании такой важности? Скорее всего вылизанная и идеально настроенная RTOS, гораздо ближе к железу.
JerleShannara
JVM и Виртуалки в космосе звучит примерно как «Летающая корова». Голый C (и частенько без плюсов), ассемблер.
miga
Уже AGC (бортовой компьютер Аполлонов) имел внутри себя виртуальную машину с более высокоуровневым языком.
DanilinS
Или переводчик плохой, либо весь дополнительный код в оперативке сидит.
aleksandros
Тоже крайне удивило такое корявое решение. Не, ну 50 лет без всяких патчей назад умудрялись аппараты сажать, а сейчас-то почему «на ходу» что-то делают?
200sx_Pilot
Новый аппарат нужно собирать на реле и ваккуумных лампах.
И долетит, и сядет нормально.
А то, понимаешь, привыкли выкатывать сырое в продакшн с надеждой на закрытие косяков патчами…
aleksandros
Если без шуток, то аппарат на реле всё же долетел и сел…
И я глубоко убеждён, что имея в распоряжении просчитанные орбиты Луны и Земли на 100500 лет вперёд, всевозможные датчики для ориентации, высокую производительность БК и т.п., прилунение совершенно реально осуществлять полностью автономно. Ну пусть с минимальной корректировкой из ЦУПа, да и то просто для достижения идеального результата. Но не так же, чтобы за время полёта 10 раз перезагружать компьютер, а сажать чуть-ли не в ручном режиме.
vassabi
8street
aleksandros
Как раз это он и должен, на мой взгляд, делать. Аппараты обвешивают всевозможными датчиками, а производительность современных БК позволяет производить все вычисления на лету.
Elmot
Очень маловероятно его вручную посадить. Это вам не р/у коптер, скорости до тысяч метров в секунду, а время прохождения радиосигнала луна-земля-луна 2.5 сек. Вообще невозможно рулить в реальном времени.
tyomitch
Сколько стоила разработка лунохода 50 лет назад, и сколько — у SpaceIL?
Lexxnech
Да, умудрялись.
Скажем перед первой посадкой на Луну (Луна-9), из пяти полетевших к Луне (и 11 запущенных, у остальных шести аварии произошли на более ранних этапах), три разбилось при посадке и две пролетело мимо, не сумев перейти на окололунную орбиту.
Или аппараты для доставки на Землю лунного грунта — у трех из шести аварии при посадке.
В Штатах статистика несколько получше, но 2 из 7 Сервейеров тоже разбились.