Как один тумблер «Электрон» погубил

    Завершено расследование аварии при первом пуске частной сверхлегкой ракеты-носителя Electron. Оказалось, что причиной аварийного завершения полета стала неправильная настройка оборудования подрядчика — всего из-за одного ошибочно выключенного тумблера с ракетой прервалась связь, и по действующим правилам пришлось отдать команду на ее аварийный подрыв.


    Старт РН Electron, фото Rocket Lab

    Хронология событий





    25 мая, после трех переносов из-за погоды, состоялся первый испытательный пуск частной сверхлегкой ракеты-носителя Electron. Ракета, отличающаяся интересными техническими решениями и предназначенная для выведения до 225 килограмм на низкую орбиту, в этом пуске летела с габаритно-весовым макетом полезной нагрузки. По циклограмме полета первая ступень успешно отработала две с половиной минуты и отделилась. Вторая ступень запустила двигатель и штатно продолжала полет. В начале третьей минуты были благополучно сброшены створки головного обтекателя. Ракета достигла высоты 224 км, и в твиттере Rocket Lab написали, об успешном достижении космоса, но после четырех минут полета с ней пропала связь по основному каналу. Несмотря на то, что ракета летела над морем и не могла упасть не то, что в густонаселенные места, а вообще на сушу, были приняты правила, по которым в случае потери связи с земли передавалась команда на подрыв ракеты. В итоге «Электрон» не вышел на орбиту.

    Основная версия аварии появилась очень быстро, но расследование заняло два месяца, чтобы исключить возможность ошибки. Оказалось, что канал связи, с которым работали операторы аварийного прекращения полета, обеспечивался подрядчиком. Параллельно телеметрию с ракеты по другому каналу получали специалисты Rocket Lab. И если по каналу подрядчика телеметрия стала портиться и в конце концов пропала, то по каналу Rocket Lab был виден нормальный полет вплоть до передачи команды на аварийный подрыв. Получается, что по какой-то причине взорвали нормально летящую ракету. И эту причину нашли в оборудовании, точнее, настройках оборудования подрядчика — там было выключено помехозащищенное кодирование (Forward error correction, FEC).

    Помехи и тумблер


    Когда ракета стояла на стартовом столе, она была близко к принимающим устройствам, и уровень сигнала телеметрии был очень высоким. После старта она стала удаляться, и мощность сигнала стала падать. Точнее, стал падать уровень сигнал/шум — сигнал от ракеты ослабевал, а фоновый радиошум оставался на прежнем уровне. В результате в какой-то момент шум стал забивать полезный сигнал, и качество телеметрии упало ниже допустимого. Над проблемой передачи информации по каналу связи с помехами задумались еще в середине прошлого века, и еще тогда придумали общий принцип — вместе с полезной информацией передается дополнительная, по которой, при наличии ошибок, можно восстановить то, что было передано. Простейший пример из 1950 года — код Хэминга:



    Слева — исходное сообщение. За линиями справа и внизу — специальные контрольные биты, в данном случае показывающие четность количества единиц строки или столбца. В правой части в сообщение вкралась ошибка (отмечена красным). По значению контрольных битов можно исправить ошибку и восстановить исходное сообщение — во второй строке количество единиц должно быть четным, и во втором столбце — тоже. Следовательно, в ячейке на пересечении второго столбца и второй строки должна быть единица, а не ноль.

    Возвращаемся к «Электрону». Кроме проверки настроек оборудования Rocket Lab провела натурный эксперимент — записанный с ракеты сигнал воспроизвели повторно с с аналогичным уровнем мощности, и с включенным помехозащищенным кодированием оборудование подрядчика приняло телеметрию без проблем.

    В результате получилась трагикомическая и очень поучительная история — неправильного положения всего одного переключателя хватило, чтобы уничтожить здоровую ракету. Для Rocket Lab это урок в большей степени работы с подрядчиками, чем конструирования ракет, опыт, пусть горький, но полезный. Устранить такую проблему просто, и Rocket Lab пишут, что уже изменили свои процедуры. Для космонавтики в целом подобные ошибки не новость, мне, например, вспоминается история, как в начале трансляции выхода на поверхность Луны операторы одной из станций связи, нажимая не те кнопки, сначала перевернули Армстронга вверх ногами, а затем, пытаясь исправить ситуацию, еще и инвертировали цвета.

    Польза и будущее


    Первый полет «Электрона» вскрыл и реальную проблему. На видео можно заметить, что на участке работы первой ступени ракета медленно вращалась. Скорость была недостаточной для стабилизации вращением, и в целом для полноценной системы управления, которая стояла на ракете, такая стабилизация не нужна. Но и на серьезную аварию это не походило — ракета сохраняла управляемый полет. Оказывается, что это все-таки была ошибка при проектировании, и вращаться в нормальном полете «Электрон» не должен. Теперь об этой ошибке узнали, и к следующему пуску ее должны исправить.

    Второй полет «Электрона» планируется провести в начале октября. На нем все так же не будет настоящего спутника. Уже известно название — «Все еще испытываем» («Still testing»). Радует, что Rocket Lab сохранили чувство юмора. Ошибки и неудачи, увы, неизбежны, но судя по серьезности подхода, который виден в работе Rocket Lab, они смогут извлечь из них полезные уроки.
    Поделиться публикацией
    Комментарии 49
      0
      Не понятно только, почему перед уничтожением ракеты подрядчик не связался с Rocket Lab, у которых была четкая связь.
      • НЛО прилетело и опубликовало эту надпись здесь
          +5
          Скорее всего, оборудование подрядчика считалось основным (сертифицировано, например), а оборудование Rocket Lab — экспериментальным и вспомогательным. Плюс, наверняка в алгоритм прекращения полета не прописали вариант «спросить другие каналы»
            0
            в случае потери связи с земли передавалась команда на подрыв ракеты

            Если нет связи, как передать?
            Мне кажется, что с точки зрения ракеты, если не получаешь, например, ежеминутный пинг с Земли, подорвись после третьеё минуты отсутствия связи… Ну, так логичней, вроде как. А вот что на самом деле?
              +1
              А там отдельная цепь, скорее всего. Ненаправленный приемник (чтобы принять в любом положении) слушает на ракете, а с Земли передается мощный сигнал.
                0
                подрыв ракеты должен быть, только в крайнем случаи- резкое изменение траектории полета. если все идет штатно и всего то пропала связь, то бортовой компьютер должен отработать программу вывода, а дальше пусть на земле думают, что там случилось с носителем.
                  0
                  Так делать нельзя. Космос не прощает ошибок.
                    0
                    А если бы это резкое изменение началось после того как ракета ушла на такое расстояние, что и команда на подрыв бы не сработала? И это реально, т.к. её «крутило».
                      0
                      Я думаю подобные ситуации уже заложены в программу пуска и сам бортовой компьютер может сам дать команду на подрыв кардинально нештатной ситуации. Ну хотелось бы верить, что такое есть, а не только из цупа могут подорвать. Смысл уничтожать ракету с нагрузкой, если она штатно летит, но пропала связь? Я понимаю, что при сильном крене или диких вибрациях, крутилках, можно и нужно ракету уничтожить, но вот если она летит и все норм, то зачем? или все управление идет в ручном режиме, тогда понятно почему ее взорвали.
                        +1
                        Ну это после расследования легко рассуждать. А когда есть минута на решение, и не понятно, просто тумблер отключен или вся электроника полетела, включая ту, которая возможно за автоподрыв отвечает — уже не до раздумий, поэтому и есть инструкции, чтобы избавить от мук выбора, т.к. ракету взорвать — проблем меньше, чем проблемы из-за возможных жертв.
                          0

                          таки и летела она тоже не совсем штатно, такого вращения быть не должно.

                        0
                        тогда у организаторов такого запуска могла бы появиться репутация

                        запускателей межконтинентальных баллистических ракет

                        кто знает, что случится с неисправной ракетой в дальнейшем полёте…
                      0
                      А сколько всего было каналов приема телеметрии, если только 2, то это мало, а что если оба приемника дают ошибку, как минимум нужно иметь третий канал и 1 контрольный, т.е имеем 3 основных приемника и один контрольный. тогда шансы, что врут 1, 2 приемника уравниваются, а луше еще один добавит, чтобы всегда было большинство. тут либо все врут, либо несколько врут — остальные работают штатно, или все работают штатно.

                      А 2 приемника это как-то странно, да и банальная диверсия могла быть, зная, как отключением проверки четности можно загубить прием данных.
                        0

                        Очень странно. Если одно оборудование выдаёт ожидаемые данные, а другое постепенно начинает глючить, то подозрение должно пасть именно на то, другое.
                        Значит контроль вёлся только подрядчиком, а РЛ принимали только для себя и их данные не учитывались совсем

                          +1
                          в расследованиях авиакатастроф была серия про такую ситуацию — три авиагоризонта — один капитана, еще один второго пилота и центральный — проверочный. Заглючили левый и правый, но пилоты решили что глючит центральный (который тихо мирно показывал тишь и гладь). Ну они и сорвали самолет в пике
                            0

                            По каналам телеметрии идёт много данных. И все в допуске.
                            В это время другой канал постепенно помирает…
                            Либо данные "хорошего" канала не использовали вообще, либо тупо выполнили процедуру. И некому было рявкнуть: "Летим дальше!"

                      +5
                      Так кто же все таки герой дня, скрывающийся под кодовым названием «Подрядчик», и почему ему было делегировано право управления ракетой при наличии собственной наземной станции и RocketLab
                        +2
                        Название фирмы в официальном релизе нет.
                          –4
                          это урок в большей степени работы с подрядчиками

                          Надо было перемычки паять. А так одни потери: и на тумблерах распилили и ракету угробили!
                            0
                            Надо было сначала пост прочитать.
                            0
                            Контроль пусков и право на подрыв у воякеров.
                            –1
                            Интересно, какой счёт выкатили подрядчику за убитую ракету?
                              0
                              Скорее всего никакой — либо страховка, либо в контракте прописано ограничение ответственности.
                                0
                                Об этом вряд ли напишут, даже если выставят. Может, выставлять будет страховая компания, а это уже будет совсем отдельный вопрос.
                                  0

                                  Тут классический случай без альтернативного подряда, хорошо если страховка какая есть, но вероятнее всего сошлись на том что большая часть полёта прошла успешно, премию срежем, виновным выговор, работаем дальше и пытаемся больше не косячить.
                                  p.s. это как дыры в незаменимым в обозримые сроки ПО, хорошо если исправят но и если не исправят будем вешать костыли или сворачивать бизнес.

                                  +1
                                    +3

                                    Я ждал что автор подведет итог типа "девочка может быть любого пола, возраста и на любой должности", а автор скатился в какое-то тупое женоненавистничество. Не надо так!

                                    0
                                    Если одна маленькая деталь может погубить ракету, то это плохая ракета. По крайней мере такие нюансы должны были продумать до мелочей, вплоть до индикации выбора не рекомендуемых настроек. Мне почему-то кажется, что это история немного натянута на реальность с целью минимизировать финансовые убытки. Человеческий фактор и хорошо работающая ракета внушают гораздо больше уверенности инвесторам, нежели «сначала все шло нормально, а потом насос каак начал вибрировать, в общем непонятно что там с ним случилось»
                                      +10
                                      Если одна маленькая деталь может погубить ракету, то это плохая ракета.
                                      Это правило не распространяется на системы аварийного прекращения полёта. Тут наоборот, выход единственного параметра за допустимые рамки — отмена старта/подрыв обеспечен. Потому что безопасность в данном случае — это не позволить вышедшей из под контроля ракете упасть кому-нибудь на голову, а не пытаться вывести спутник на орбиту любой ценой.
                                      Человеческий фактор и хорошо работающая ракета внушают гораздо больше уверенности инвесторам, нежели «сначала все шло нормально, а потом насос каак начал вибрировать, в общем непонятно что там с ним случилось»
                                      Не выясненная причина поломки — это потенциальная авария в будущем, даже может в отдалённом будущем. А итог таких промашек — это ставки страховок, которые на Протон-М выше почти в три раза, чем для Ariane-5 и Falcon 9. Заметание причин аварии под ковёр — верный способ разорить свою фирму в ближайшем будущем.

                                      Разница в ставках между 4% для Arian-5, скажем около 5% для Falcon 9 и 10-12% для Протон-М от стоимости спутника — это может быть не просто разница в ценах на запуски, это может быть дороже самого запуска: так «Джеймс Уэбб» застраховать — обошлось бы по цене как десять запусков Протона, и даже спутники связи такие есть, что для них запуск на Ariane-5 — по сравнению с Протон-М вообще «бесплатным» будет, за счёт разницы в страховке.
                                        +1
                                        Замалчивание проблем — распространенная политика, к сожалению (я не про космос конкретно, а вообще про фейлы средних и больших компаний). Она не приведет к разорению, если никто не узнает и проблема таки будет решена, но чуть позже, чем ожидается. В любом случае это не более чем предположение, основанное на моем опыте знакомства с некоторыми авиационными системами. Такую ситуацию с вероятностью 99.9% должны были продумать еще на стадии НИОКР.

                                        Ну и речь шла о штатной системе. Да и переход от детали к параметру у вас выглядит резко. Если проводить аналогии для систем аварийного прекращения полета (САПП), то правило сохраняется — выход из строя одной детали САПП не должен приводить к выходу из строя всей системы.
                                          –1
                                          САПП не вышла из строя, а успешно уничтожила ракету.
                                            +2
                                            Я отвечал voyager-1 на его тезис о САПП
                                      +4

                                      Ошибка в первом столбце Single bit error correction. Должно быть нечетное количество единиц, а там 110

                                        +3
                                        Я даже про коды Хэминга полез читать может упустил думаю чего.
                                          0
                                          А я сидел-сидел, перечитывал биты, искал верную логику…
                                          на случай, если картинку поправят
                                          была такая
                                          image
                                            0
                                            Аналогично. Сломал мозг и решил отложить до вечера. А тут вон он что…
                                          0
                                          Угу, ошибка. Вечером поправлю
                                            +15
                                            … сказал подрядчик. /трагикомедия.
                                              +1
                                              О, да. Помню, как летом 2013 года я радовался, что не работаю в космической отрасли, посмотрев новости про падение «Протона»…
                                            +2

                                            Там еще одна ошибка — в названии кода. Ну или в структуре, смотря что считать правильным. Код Хемминга с проверкой двойных ошибок для сообщения в 24 бита передает 18 бит данных — а на картинке всего 15...

                                            +2
                                            Насколько я понимаю, подрыв ракеты особо не был проблемой: груз — массогабаритный, все ступени отработали, есть живая телеметрия. Чуть не дотянул то конца, но 90%+ программы выполнено.
                                              +2
                                              Да, почти получилось. Осталось немного — выключение двигателя второй ступени, проверка правильности оценки импульса последействия и отделения полезной нагрузки.
                                                –1

                                                Ну не знаю, вращение при запуске там, где его быть не должно это всё таки не очень-то здорово. Это же по сути означает, что в таком виде бортовому компьютеру придётся постоянно заниматься корректировкой полёта вместо полёта "по заранее разработанному плану".

                                                  0

                                                  Это тоже должны пофиксить к следующему пуску.

                                                    0

                                                    Ну надо думать, что так, потому что иначе ситуация будет абсурдная. Я просто возразил на то, что, как было сказано выше


                                                    все ступени отработали, есть живая телеметрия. Чуть не дотянул то конца, но 90%+ программы выполнено.
                                                0

                                                Отличное исследование, респектую автора, как раз интересовала тема электрона

                                                  +2
                                                  Жду публикацию на тему «Как взрывают ракеты, если что-то пошло не так»
                                                    +2
                                                    Так Чертока почитайте, там это отлично изложено.
                                                    0
                                                    Да, «в космосе мелочей не бывает». Вот совсем. Очень хорошо, что фирма наступила на эти грабли в самом первом полёте — рано или поздно она бы всё равно наступила бы, это увы, только на своей шкуре прочувствовать надо, что б до спинного мозга дошло, хоть 100500 раз от других прочитай/услышь…

                                                    Только полноправные пользователи могут оставлять комментарии. Войдите, пожалуйста.

                                                    Самое читаемое