Softwarefejl skyld i Mars-fartøjets forlis

Hvor på Mars resterne af landingsmodulet Schiaparelli ligger, ved Europas Rumfartsorganisation(ESA) fortsat ikke.

Modulet skulle have landet på den orangerøde planet den 19.oktober, men 50 sekunder før forventet landingstid mistede ESA radiokontakt med landingsmodulet, hvis tilstand også er præget af uvished.

Til gengæld har ESA’s ingeniører arbejdet på højtryk med at simulere det formodede havari og analysere data i forsøget på at begribe, hvad der gik galt. I en artikel i Nature løfter Andrea Accomazzo med titlen af head of solar and planetary missions sløret for en af de teorier, som rumfartsagenturet hælder til i øjeblikket.

»Den mest sandsynlige årsag er en fejl i fartøjets software eller et problem med at sammenkæde de data, der kommer fra forskellige sensorer. Det kan have fået modulet til at tro, at det var i en lavere højde, end det egentlig var,« siger Andrea Accomazzo til Nature.

Læs også: Rumfart er en milliardindustri i Danmark

ESA planlægger også en Mars-mission om fire år. Landingen af Schiaparelli skulle tjene til at høste erfaringer. Der er dog ikke tale om samme type landingsmodul til 2020-missionen, som har til hensigt at lande med et landingsmodul, der skal bore to meter ned i Mars’ jord for at lede efter tegn på tidligere liv.

Men europæisk designede computere, software og sensorer er dog blandt udstyret, der skal genbruges til ExoMars 2020-landingsmodulsystemet. Her er den gode nyhed, at en softwarefejl er lettere at løse end et fundamentalt problem med landingshardwaren, som ifølge ESAs ingeniører bestod sine test på landjorden uden problemer.

To forsøg, to kiksede landinger

Det er anden gang, at ESA har forsøgt at lande et modul på Mars. Forrige forsøg var også præget af fejl. Modulet Beagle 2 forsvandt under landingen i 2003.

Schiaparelli nåede dog i forhold til sin forgænger at sende 600 megabyte data tilbage sin rumsonde, før radiokontakten forsvandt. Her viser midlertidige analyser, at den seks minutter lange landing begyndte helt efter bogen. Schiaparelli brød igennem Mars’ atmosfæren, men 4,41 minutter inde i landingssekvensen gik noget galt.

Landingsmodulets varmeskjold og faldskærm blev udløst før tid ifølge Jorge Vago, projektforsker på ExoMars-missionen.

Raketmotorerne designet til at deaccelerere modulet i 30 sekunder var kun i brug i omkring tre sekunder, før de blev taget ud af brug, fordi modulets computere troede, at Schiaparelli befandt sig på Mars.

Læs også: MarsOne er vigtig – men Elon Musk kommer (måske) først

Schiaparelli nåede endda også at aktivere sine måleinstrumenter klar til at måle Mars’ vejr og elektriske felter, om end den ikke nåede at sende data tilbage.

Fald fra omkring 2-4 kilometer

Landingsmodulet er formentlig faldet fra en højde omkring 2-4 kilometer, før det smadrede imod overfladen med 300 kilometer i timen, lyder estimater baseret på billeder fra landingsmodulets formodede sted for havariet. Det er billeder taget af NASAs rumsonde Reconnaissance Orbiter dagen efter den mislykkede landing.

ESA’s Mars-mission i år har kostet over 12 milliarder kroner. Det videnskabelige hovedformål med missionen var at få rumsonden Trace Gas Orbiter i kredsløb for at indsamle viden om indholdet af bl.a. methan, vanddamp, nitrogenoxider og acetylen i den tynde atmosfære ved Mars.

Fordi Trace Gas Orbiter er kommet i kredsløb har ESA hidtil omtalt missionen som noget nær en fuldstændig succes. Ifølge Jorge Vago er ESA dog ikke optaget af rumsondens videnskabelige mission i øjeblikket. Ingeniørerne higer i stedet efter at finde ud af, hvad der gik galt med landingen af Schiaparelli.

Læs også: Mars-missionerne står i kø – se dem her

Den tilsyneladende mislykkede landing af Schiaparelli kan komme på et uheldigt tidspunkt for ESA’s bestræbelser på at få økonomien til at hænge sammen for Mars-missionen i 2020. Her mangler rumfartsagenturet nemlig fortsat at hitte cirka 2,2 milliarder kroner. Det beløb håber ESA på at sikre i december under et møde med en række EU-ministre.

Vigtigt dansk bidrag

Danske Terma har i øvrigt også haft en vigtig finger med i landingen af Schiaparelli, hvis landing er fuldstændig afhængig af en boks på 5,5 kg, leveret af det danske firma.

»Det bliver med nerverne uden på tøjet. Hvis vores boks ikke virker, bliver der ingen succesrig landing,« fortalte Kim Plauborg, afdelingschef for rumelektronik i Terma til ing.dk dagen før ESA’s planlagte landing på Mars.

Læs også: ESA: Er der liv på Mars, så finder vi det

Boksen, som han taler om, er den såkaldte RTPU (Remote Terminal and Power Unit), som er en strømforsyning kombineret med styre- og sensorelektronik, der udfører alle de relevante målinger under landingsprocessen.

Termas enhed vil være spækket med elektronik og veje 5,5 kg. Illustration: Terma

Enheden sidder i bunden af selve landeren på en stor flad tallerken og indeholder den elektronik, som er med til at styre hele landingssekvensen.

Ing.dk forsøgte uden held at få en kommentar fra Terma i dagene efter den fejlbehæftede landing. Til andre medier har det jyske elektronikfirma kommenteret forløbet. Og her tyder det på, at miseren ikke knytter sig til firmaets Remote Terminal and Power Unit.

sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først

Hvor på Mars resterne af landingsmodulet Schiaparelli ligger, ved Europas Rumfartsorganisation(ESA) fortsat ikke.

Med de offentliggjorte billeder fra NASA's Reconnisance Orbiter ved man vel temmelig precist hvor den ligger.

Mvh, Poul

  • 11
  • 0

Kunne man ikke genbruge erfaringerne fra de mars-landing, som er lykkedes på en bedre måde frem for at lave om på fremgangsmåden hver gang? Ideelt bør man have et system til at opsende og lande et payload af en given størrelse og vægt med størst mulig reproducerbarhed/sikkerhed. Og så må man finde sig i af ens payload skal passe til de afprøvede rammer.

  • 2
  • 0

Hej Poul Ja, du har ret; billederne fra Nasa's rumsonde er en særdeles kraftig indikation af, hvor både faldskærmen og (det sandsynligvis smadrede) landingsmodul befinder sig. Men da det endnu ikke er blevet bekræftet, har jeg valgt at tage et forbehold indtil videre. Link til artiklen om billederne fra Nasa's rumsonde kom forresten vist ikke med i ovenstående artikel. Her er det i stedet: https://ing.dk/artikel/dette-vraget-europa...

Mvh Mads Nyvold

  • 1
  • 0

Hændelsen får mig til at tænke tilbage på det forliste rumfartøj Mars Climate Orbiter, der (tilbage i 1999) også styrtede ned på Mars. Her var der tale om en ret så banal (og pinlig) software fejl. Teamet der udarbejdede navigationsdelen arbejdede i metriske enheder, men teamet der designede selve rumfartøjet arbejdede i de gamle engelske enheder (tommer, fod osv.). Sådan en fejl laves næppe to gange, men det eksempel er altid godt at drage frem når det skal pointeres, hvor vigtigt det er at have styr på sine enheder. http://articles.latimes.com/1999/oct/01/ne...

  • 2
  • 0

Jeg forstår ikke, at der kan ske sådanne softwarefejl. Normalt vil man ofre et ret stort beløb på at teste softwaren - f.eks. lave et apparat der simulerer den fysiske virkelighed, så alt kan testes under virkelige (simulerede) forhold. På den måde, kan man "lege" med forholdene under landingen, og det kan nogle gange, give idéer til at gøre noget bedre, og mere robust, end man først havde tænkt på.

Hvis man laver en hardware simulator, der forbindes på sensor inputs og outputs, så burde fejl som tommer/fod/cm ikke kunne forekomme, med mindre at både dem der laver simulatoren, og dem der laver softwaren i udstyret, laver eksakt samme fejl. Det kan naturligvis ske - men der er stor sandsynlighed for, at nogle opdager fejlene under testen - desto flere oplysninger, som kan vises og visualiseres, desto større er sandsynligheden for at fejl opdages.

Det kan tage lang tid at lave en model første gang, men ofte kan dele af modellerne og softwaren genbruges til fremtidige simulationer. Sikkerhedsmæssigt er det billigt at lave hardware til test udstyret, da det ikke skal ud i rummet.

Jeg forestiller mig, at de kan lave en 3D visualisering af simulationerne - så skal både være samme fejl i mars-softwaren, i 3D visualiserings softwaren, og i hardwaresimulatorens software, for at det går igennem ubemærket.

Simulering er både vigtig for testen, men det at kunne se resultatet i praksis, som det vil forløbe, og kunne ændre på forhold i modellerne, kan ofte give inspiration til mere sikkert software, der er mere robust, og bedre tåler påvirkning man måske ikke har opdaget, før man leger med det under testning og visualiseringen. En del af simuleringssoftwaren vil sandsynligvis også kunne bruges til andre landinger, og måske landinger på andre planeter end mars. Jeg vil tro, at NASA allerede har en stor del kode til at ligge, der kan bruges.

Det er for mig næsten uforståeligt, at Nasa ikke gør noget ud af at teste udstyret. Og jeg syntes undskyldninger som tomme/millimeter, virker som mere undskyldning, end den rette forklaring. Mon ikke, at den rette forklaring er, at NASA ikke har testet tingene ordentligt, og opfyldt de testprocedurer, som de burde - og selv har foreskrevet? Men det er nok for alvorligt, til at blive sagt.

Fejl som tommer/millimeter omregninger, ser man meget sjældent i software, da de afsløres ved simple test. NASA har tidligere haft en fejl, med en under dimensioneret fifo, som et resultat af, at noget hardware var blevet udskiftet med noget der var hurtigere - her kan være meget svært at fange fejlen, da de enkelte dele er testet, og fungerer som de skal - og det er sandsynligt med en menneskelig fejl, der ikke opdager, at det er ændret lidt. Men tomme / millimeter fejl, er ikke noget som kan forekomme, når det er testet, da det er en konstant fejl, der forekommer i alle test. Er noget gået galt, så er det normalt forhold, man ikke har taget hensyn til, og glemt at både kalkulere og teste.

Jeg tror ikke på Nasa's undskyldninger.

  • 2
  • 7

Er der redundant system for sensorer, for det er jo vigtigt at disse inddata virker for styringen af nedstigningen. Kan en enkelt sensorfejl føre til lukning af bremsningen? Er der ekstra sensorer evt. gange 3?

  • 2
  • 1

Er der redundant system for sensorer, for det er jo vigtigt at disse inddata virker for styringen af nedstigningen. Kan en enkelt sensorfejl føre til lukning af bremsningen? Er der ekstra sensorer evt. gange 3?

Det meste i rummet flyver såvidt jeg ved under DO178B/C. Der må maksimalt være P=10^-9 sandsynlighed for farlige fejl i fartøjets totale levetid. Alle sensorer, hvis fejl kan bringe fartøjet i fare, er dupleret - nogle gange x4 for at opnå byzantine fault tolerance.

  • 2
  • 0

Kunne man ikke genbruge erfaringerne fra de mars-landing, som er lykkedes på en bedre måde frem for at lave om på fremgangsmåden hver gang?

Jeg har læst på et tidspunkt at grunden til de afprøver ny landings teknologi på Mars for tiden (både Nasa og Esa). er vægten på roveren. De er simpelthen for tunge, til at de kan bremses ned i den tynde atmosfære, med traditionelle midler som faldskærm og airbag.

Dette skulle være grunden til de relative små rovers og landers, man så før i tiden. Nasa's landing af curiosity indeholdte også thrusters og en sky crane til den sidste del af landing.

  • 1
  • 0
Bidrag med din viden – log ind og deltag i debatten