Лунная миссия «Берешит» — озвучена предварительная причина аварии



    Спустя 6 суток после падения аппарата «Берешит» на лунную поверхность, команда SpaceIL официально озвучила интригующую версию аварии на Луне 11 апреля 2019 года. И возникает еще больше вопросов о случившемся.

    Обновлена информация по аварии на 18.04.2019.


    В продолжении этой публикации.

    Официальная от SpaceIL на данный момент последняя фотография с аппарата «Берешит» (15 км до поверхности Луны):



    Вот привязка по местности на это фото:



    Предварительные результаты расследования аварии: в процессе посадки бортовым компьютером была активирована команда, исполнение которой привело к фатальному результату для миссии



    Here are the findings of the preliminary investigation of Beresheet’s landing maneuver: It appears that during the landing process a command was entered that led to a chain reaction, which caused the main engine to switch off and prevented it from being reactivated.

    «Похоже, что во время процесса посадки была введена команда, которая привела к цепной реакции, вызвавшей отключение основного двигателя аппарата и не позволила возобновить его работу далее.»

    Обновление от 18.04.2019:
    Все же авария из-за команды, полученной от оператора во время посадки — нервы, нет времени анализировать ситуацию, основной блок IMU1 (inertial measurement unit) в нештатном режиме, оператор посылает команду на активацию запасного блока IMU2, что вызвало далее критические последствия в работе бортового компьютера (зависание, перезагрузку) и отказ двигателя.

    "A command intended to correct a malfunction in one of the Beresheet spacecraft’s inertial measurement unit led to a chain of events that turned off its main engine during landing, according to a preliminary investigation conducted by SpaceIL".


    Таким образом, возможно, что это была программная\человеческая ошибка (ввод команд происходил оператором или инженерами в ЦУП) в процедуре посадки аппарата «Берешит».

    Список команд и режимы работы с аппаратом «Берешит» утверждались и передавались только из ЦУП SpaceIL. Инженеры SpaceIL создавали патчи для бортового компьютера аппарата, проверяли их работоспособность и функциональность, а также готовили команды для процедуры посадки.

    Интересно, перехватить управление аппаратом и внедрить в его бортовой компьютер дополнительный код\команду, теоретически, возможно было сделать или там все же была определенная защита от внешнего несанкционированного доступа?

    Ведь при посадке время шло на секунды и операторы могли проморгать ситуацию с получением аппаратом чужих команд. Хотя, в этот момент операторы также колдовали в ручном режиме, пытаясь работать с аппаратом. Может тут тоже случилась нестыковка по введенным командам в одно время.

    Но, скорее всего, тут была ошибка в «своем» коде (может она была в одном из многочисленных патчей, которые передавались на бортовой компьютер после каждой его перезагрузки), в котором содержалась фатальная команда.



    Умышленно или случайно была введена эта команда, которая привела к аварии — этот факт останется закрытым, скорее всего, хотя ждем окончательных результатов в ближайшее время от SpaceIL, которые они пообещали обязательно опубликовать.

    Что известно об аппаратных и программных компонентах аппарата «Берешит»:

    — бортовой компьютер один (1), не продублирован (было несколько перезагрузок компьютера в процессе полета до Луны);

    — программный код управления, команды и работа с бортовым компьютером — на языке С;

    — из-за того, что компьютер только один, при перезагрузке все обновления (патчи) стираются и их нужно дополнительно загружать заново в систему;

    — скорость передачи данных низкая: одна фотография большого разрешения (с камеры 8 Mpx) загружается 40 минут;

    — DLR (Немецкий аэрокосмический центр) проводил тестирование механизма посадки аппарата «Берешит»;

    — команда в ЦУП SpaceIL: большинство — это инженеры космической отрасли и ученые-физики, несколько молодых ученых и инженеров, которые только изучают системы спутникового управления.

    Когда мог быть внедрен код с этой фатальной командой? Скорее всего, при поготовке к процедуре посадки.

    Но команда в бортовом компьютере сработала уже после прохождения аппаратом «точки невозврата», когда начался автоматический управляемый только бортовым компьютером процесс посадки.

    Хотя в ЦУП SpaceIL была попытка в режиме ручного управления повлиять на ситуацию с аппаратом при посадке.

    На расстоянии 800 км от места посадки начинаются посадочные процедуры:



    Аппарат «Берешит» получит серию команд из ЦУП:



    Будут активированы датчики посадки (основной и резервный):



    Будет начата процедура изменения положения (ориентации) аппарата «Берешит»:



    После окончания подготовительных процедур перед посадкой, у бортового компьютера аппарата «Берешит» и в ЦУП будет возможность оценить состояние систем и готовность к посадке, если что-то будет работать некорректно, то процедура посадки будет отменена, если все штатно, то после начала следующего этапа посадки больше никакой отмены сделать уже не получится:



    Если все идет штатно, то аппарат «Берешит» начнет снижать свою орбитальную скорость и уменьшать расстояние до поверхности Луны с помощью основного и вспомогательных двигателей, эта процедура займет 15 минут:



    Видео посадки:



    Что происходило, согласно видео посадки, с аппаратом (времена указаны из видеоролика):

    23:03 Индикатор телеметрии стал зеленым. Режим: ориентация.
    25:04 Режим: торможение.
    25:20 Пройдена «точка невозврата».
    25:26 Индикатор «точки невозврата» стал черным.
    25:52 Индикатор вертикальной скорости зеленый.
    28:16 Индикатор телеметрии перестал быть зеленым.
    28:20 Индикатор телеметрии на мгновение стал зеленым, потом перестал быть зеленым.
    29.37 Дистанция: 210 км.
    29:50 Дистанция изменяется на 385 км.
    30:03 Дистанция изменяется на 370 км.
    30:40 Индикатор телеметрии стал зеленым.
    30:51 Дистанция изменяется на 314 км.
    31:33 Показана картинка-селфи с Луной. Высота около 22 км? Индикатор телеметрии стал зеленым.
    31:50 Индикатор телеметрии перестал быть зеленым.
    31:55 to 32:29 "[неразборчиво] убить его (процесс?)." "[еще неразборчивее] занят"
    (тут инженеры уже в режиме ручного управления пытаются бороться с возникшей нештатной ситуацией)
    32:48 Показывается экран телеметрии. Индикатор телеметрии желтый. Высота 14095 м. Горизонтальная скорость 955.5 м/с. Вертикальная скорость 24.8 м/с. Основной двигатель включен. Ячейка «горизонтальная скорость» желтая. Другие параметры показаны зелеными, за исключением индикатора телеметрии.
    32:49 Все двигатели включены.
    32:51 Все двигатели выключены.
    32:55 Основной двигатель включен.
    32:57 Все двигатели включены.
    32:59 Основной двигатель включен. Дистанция: 183.8 км.
    33:01 — 33:03 «датчик IMU не в порядке»
    33:02 Все двигатели включены.
    33:05 Основной двигатель включен.
    33:07 Все двигатели включены.
    33:09 Основной двигатель включен.
    33:11 Все двигатели включены.
    33:13 Основной двигатель включен.
    33:16 Все двигатели включены.
    33:20 Индикатор телеметрии стал зеленым. Все двигатели выключены. Все картинки замерли (нет изменений в показаниях).
    33:32 Индикатор телеметрии перестал быть зеленым. Все двигатели выключены. Все картинки замерли (нет изменений в показаниях).
    34:24 Индикатор телеметрии стал зеленым. Все двигатели выключены.
    36:25 — 36:33 «Проблемы с основным двигателем. Мы перезагружаем бортовой компьютер, чтобы включить двигатель.»

    Попытка стенографирования слов диктора и инженеров в процессе посадки (тайминг другой, но суть и секунды такие же):

    7:37:37 — IMU2 Not OK
    7:37:50 — [not clear] will try to enable it.
    7:37:57 — Someone is asking if it [unclear what 'it' is]will cause us to swith to the 2nd [something]
    7:38:10 — Lost connection from JPL
    7:38:34 — We lost one IMU and we lost connection to JPL, the two should not be related.
    [in the background someone says something about restarting the IMU]
    7:38:39 — Do not enable IMU2
    7:38:52 — What you see on the screen is not correct, there is currently no telemetry
    7:39:06 — [in english] we lost telemetry, but we have telemetry back now.
    7:39:23 — We passed altitude 10km
    7:39:29 — Velocity below 900 m/s
    7:39:34 — Reminder that we need to reach a velocity of 0
    7:39:47 — The engine is running there is an increase in pressure [unclear] to 5 bar[?], «Interesting»
    7:39:52 — 2nd image downloaded.
    7:40:06 — [Anouncer starting saying something about the laser landing sensor]. [in the background — unclear but it seems like he said the engine is not running]
    7:40:13 — We may have a problem with the main engine.
    7:40:17 — Do a reset [They had mentioned earlier in the broadcast that they can send commands to the spacecraft during the landing process]
    7:40:24 — What do you want?
    7:40:28 — Situation seems no good, no main engine.
    7:40:33 — 2nd image received.
    7:40:40 — Losing altitude
    7:41:07 — [In english] We seem to have a problem with the main engine, we are resetting the spacecraft to try to enable the engine
    7:41:10 — Is there approval to send [unclear]?
    7:41:15 — The main engine is now running, based on [pressure measurements]
    7:41:19 — Main engine back on. [and again in english]
    7:41:27 — Lost alot of altitude, situation unclear.
    7:41:32 — Lost connection with JPL
    7:41:45 — We now have a connection only via ssc[??] not thru nasa, but we have a connection with the spacecraft.
    7:41:49 — Lost telemetry
    7:41:52 — We are now without telemetry
    7:41:57 — [english] The main engine is on but we lost communication
    7:42:10 — We will wait a moment for [evalution] from [unclear]
    7:42:17 — We suspect that we did not land [unclear] still evaluating
    7:42:56 — We are without telemtry and suspect we lost the spacecraft.
    7:43:16 — All indications are that unfortunately we will not be the 4th nation to land on the moon.
    7:43:33 — We are on the moon, but no the way we wanted to be.

    Последние 4 секунды жизни аппарата по данным в ЦУП (с 678 до 149 метров снижение):









    В 19:23 данные телеметрии совсем перестали поступать.

    У инженеров SpaceIL сейчас есть все данные, листинги команд и патчи, которые они отправляли на аппарат «Берешит» после каждой перезагрузки бортового компьютера, также есть возможность исследовать всю эту информацию более тщательно и проанализировать процедуру посадки до возникновения аварии на аппарате.

    Если действительно тут не только некорректные данные от внешних датчиков привели к трагедии, а еще и программный код, который обрабатывал эти данные или даже случайно выводил аппарат в аварийную ситуацию, то это только с опытом далее можно разрешить и предотвратить еще на стадии создания кода до отправки на космический аппарат.

    Председатель SpaceIL Моррис Кан сказал: «Я горжусь командой инженеров SpaceIL за их замечательную работу и преданность делу, к сожалению аварии зачастую являются неотъемлемой частью такого сложного и новаторского проекта. Сейчас важно максимально усвоить полученные уроки, изучить ошибки и смело продолжать идти вперед».

    Кстати, аппарат «Берешит» на орбите Луны и во время посадки использовал бортовой магнетометр и передал в ЦУП SpaceIL некоторую часть научных данных о магнитном поле Луны.

    Таким образом, часть своей научной небольшой программы он все же выполнил!

    Обновленные данные по ошибке при аварии:

    Завершившийся первый этап расследования сводился к изучению фактов и последовательности событий. В процессе полета происходили перебои со связью, но аппарат «Берешит» продолжал функционировать в заданном режиме. Так было до момента, когда аппарат приступил к посадке на лунную поверхность.

    В ходе расследования было установлено, что одна из команд, переданных из центра управления полетом, не была выполнена, что привело к цепи последующих сбоев: двигатель перестал работать, а сам аппарат упал на поверхность.

    Сбой был выявлен в работе датчика акселерометра, называемом UMI (отвечает за ускорение). Пока точно не установлено, почему последовал отказ, который привел к последующим негативным реакциям системы.

    Команда на активацию датчика ускорения была направлена из ЦУП SpaceIL.

    После того, как последовал отказ, были предприняты попытки перезапустить двигатель альтернативными способами, но они не увенчались успехом.

    Все происходило в условиях жесточайшего временного цейтнота: сбой произошел на последних секундах миссии, которую в итоге завершить не удалось.

    Бортовой компьютер аппарата «Берешит» также пытался произвести автономную перезагрузку двигателя — таких попыток было 5-6. Но все они оказались безрезультатными.


    Возможно, произошло несогласованное между инженерами выполнение команд на аппарате по включению запасных модулей (IMU2), которое привело далее к новым проблемам и аварии.

    The spacecraft was using IMU 1 and was not initially affected by the failure of IMU 2.

    One engineer asks if they should attempt to enable IMU 2 and another engineer asks 'would that cause the system to switch to it (presumably 'it' means IMU 2).

    Perhaps despite the word of caution from the 2nd engineer someone did send a command to attempt to restart IMU 2 and perhaps that is what they mean by a bad command starting a chain of events…

    Поддержать автора
    Поделиться публикацией

    Комментарии 120

      0

      — из-за того, что компьютер только один, при перезагрузке все обновления (патчи) стираются и их нужно дополнительно загружать заново в систему;


      Что за бред?

        –16
        Кластер такой без файловера, еврейский.
          +29

          Чтобы очередной патч не окерпичил систему, система сбрасывается до заводских при любой проблеме

            0
            Вроде разумно. Кроме тех моментов, когда патчей становится слишком много, а времени для их последовательной установки и возвращению к нормальной работе мало.
              +12

              В теории патчей вообще не должно быть и всё проверено 100500 раз до вылета.

                +1
                Вояджер — патчили (не помню что).
                Опотьюнити — патчили (чуть не потеряли через неделю после примарсения из-за ошибок в распределении памяти — спас «железный» командоаппарат принудительно включавший радиосвязь по расписанию).
                Новые Горизонты — патчили (какая-то ошибка с учётом Допплера не позволяла развить нужную пропускную способность связи).
                  +7
                  Вояджеру одним из обновлений заменили кодирование на манчестерский код и подняли скорость передачи данных. Это не исправление косяков, это усовершенствование.
                    0
                    Именно. Вояджер адаптировали к жизни после разных поломок и большом удалении от земли и солнца.
                      0
                      Ага, там ещё обошли сбойную ячейку памяти.
                        0
                        Это в Пионере-10
                          0
                          Всё-таки в Вояджер-2
                    0
                    Читал когда-то про Опортьюнити. То, что я помню — там патчили из-за атмосферы Марса. Где-то она плотнее, где-то разреженнее и вот аппарат делал какие-то замеры, на основании которых уже проводились корректировки курса с Земли.
                    0
                    На Voyager 2 в 2010 году произошел bit flip в памяти, пришлось патчить, чтобы запретить использовать поврежденный участок памяти.
                +4
                Это понятно, что сбрасывается, но почему патчи не хранить рядом, и просто по команде с Земли подгружать нужные после перезагрузки?
                  0

                  Возможно повреждение носителя радиацией. Имхо. А дистанционно придёт гарантированно чистый код.

                    +1
                    Тогда на чём хранится код базовой прошивки?
                      +1
                      Mask ROM, скорее всего.
                      Именно что прошивка, «железно» зашитая в кристалл на фабрике.
                      +1
                      Сейчас бы в 2019 году гадать и надеяться, что код на носителе не повреждён.
                      Есть же CRC и куча более продвинутых систем коррекции ошибок на носителях.
                      0
                      Мне кажется, что есть 2 возможных причины:
                      1. Присланные патчи хранятся в RAM, при неожиданной перезагрузке не успевают переписать из в ПЗУ
                      2. Не продумали механизм Update Queue, не рассчитывали, что придётся много раз патчить
                      –1
                      Интересно, а делают ли на космических аппаратах виртуалки? И делали ли на Берешит?

                      Что-то вроде такого: хост система — очень простая, отвечает только за запуск виртуалки и связь с Землей. Гостевая система — обновляемый код, отвечающий за все остальное. Хост систему, возможно, даже удастся полностью верифицировать.

                      Будет примерно как консоль управления в облачном провайдере, куда можно зайти даже если гостевая система выключена.

                      Причем виртуалка же может быть сравнительно простой, типа JVM или виртуальной машины Erlang. Если все же идет борьба за такты — поставить 2 процессора, веса это добавит довольно немного.
                        +4
                        Вы что, какие виртуалки на оборудовании такой важности? Скорее всего вылизанная и идеально настроенная RTOS, гораздо ближе к железу.
                          +4
                          JVM и Виртуалки в космосе звучит примерно как «Летающая корова». Голый C (и частенько без плюсов), ассемблер.
                            +2
                            Уже AGC (бортовой компьютер Аполлонов) имел внутри себя виртуальную машину с более высокоуровневым языком.
                        +2
                        Или переводчик плохой, либо весь дополнительный код в оперативке сидит.
                          +1
                          Тоже крайне удивило такое корявое решение. Не, ну 50 лет без всяких патчей назад умудрялись аппараты сажать, а сейчас-то почему «на ходу» что-то делают?
                            +7
                            Новый аппарат нужно собирать на реле и ваккуумных лампах.
                            И долетит, и сядет нормально.
                            А то, понимаешь, привыкли выкатывать сырое в продакшн с надеждой на закрытие косяков патчами…
                              +10
                              Если без шуток, то аппарат на реле всё же долетел и сел…
                              И я глубоко убеждён, что имея в распоряжении просчитанные орбиты Луны и Земли на 100500 лет вперёд, всевозможные датчики для ориентации, высокую производительность БК и т.п., прилунение совершенно реально осуществлять полностью автономно. Ну пусть с минимальной корректировкой из ЦУПа, да и то просто для достижения идеального результата. Но не так же, чтобы за время полёта 10 раз перезагружать компьютер, а сажать чуть-ли не в ручном режиме.
                                +6
                                аппарат на реле всё же долетел и сел…
                                с какой попытки?
                                  0
                                  прилунение совершенно реально осуществлять полностью автономно.
                                  Очень маловероятно. Если только, аппарат сам будет определять и высчитывать свое местоположение и сам делать поправки на основе этих данных. Но какая-нибудь простенькая задача, типа нулевой скорости на нулевой высоте на последних этапах — вполне по силам автоматике.
                                    +1
                                    Если только, аппарат сам будет определять и высчитывать свое местоположение и сам делать поправки на основе этих данных.

                                    Как раз это он и должен, на мой взгляд, делать. Аппараты обвешивают всевозможными датчиками, а производительность современных БК позволяет производить все вычисления на лету.
                                      +2
                                      Очень маловероятно его вручную посадить. Это вам не р/у коптер, скорости до тысяч метров в секунду, а время прохождения радиосигнала луна-земля-луна 2.5 сек. Вообще невозможно рулить в реальном времени.
                                  0
                                  Сколько стоила разработка лунохода 50 лет назад, и сколько — у SpaceIL?
                                    +3
                                    Да, умудрялись.
                                    Скажем перед первой посадкой на Луну (Луна-9), из пяти полетевших к Луне (и 11 запущенных, у остальных шести аварии произошли на более ранних этапах), три разбилось при посадке и две пролетело мимо, не сумев перейти на окололунную орбиту.
                                    Или аппараты для доставки на Землю лунного грунта — у трех из шести аварии при посадке.
                                    В Штатах статистика несколько получше, но 2 из 7 Сервейеров тоже разбились.
                                  +2
                                  Кстати, аппарат «Берешит» на орбите Луны и во время посадки использовал бортовой магнетометр и передал в ЦУП SpaceIL некоторую часть научных данных о магнитном поле Луны.
                                  Понимаю, что шутка уже с бородой будет, но… Интересно, хватит ли этого, чтобы что-нибудь анлокнуть? ;-)
                                    +4
                                    Интересно, хватит ли этого, чтобы что-нибудь анлокнуть?

                                    Если вы про ачивки, то XPRIZE «Moonshot Award» они заслужили.
                                      +1
                                      Я скорее про технологии за заработанные очки науки. :)
                                        +4
                                        Анлок скилла «уволить этих прогромистов нах».
                                          0

                                          Была такая игра, Sword of the srar, хххх-жанра. Там научное исследование могло тупо не завершиться, типа произошла авария. Несколько ходов игры псу под хвост. Бесило страшно. Хотя игра хорошая была.

                                            +4
                                            Это шутка связанная с Kerbal Space Program. Проводя научные измерения и передав ее землю, получаешь очки науки. Которые тратятся на «анлок» новых деталей.
                                            И да, там часто бывает что научная программа выполняется частично из-за потери аппарата.
                                              0

                                              Ясно. Я её так не освоил. Ставил для чада, но ему больше Спора зашла.

                                    +1
                                    программный код управления, команды и работа с бортовым компьютером — на языке С;
                                    Что-нибудь известно об использовании разработчиками средств статического анализа?
                                      +3
                                      Мне кажется, что MISRA уже давно мастхэв во всем подобных проектах. Тем не менее, статический анализ поможет в предотвращении только самых явных ошибок, а если программист решил затупить, его ничто не остановит.
                                      +2
                                      Интересно, перехватить управление аппаратом и внедрить в его бортовой компьютер дополнительный код\команду, теоретически, возможно было сделать или там все же была определенная защита от внешнего несанкционированного доступа?

                                      Арабы сбили?
                                        +1
                                        «Алаверды» за Stuxnet.
                                          +1

                                          Stuxnet у персов, а не у арабов.

                                            +1
                                            Это был намек на то, что не только с упомянутой вами стороны могла «ответка» прилететь ;)
                                          +1
                                          Ну не об арабах же в приличном обществе…
                                            +1
                                            Лунатики.
                                              +2
                                              Я вас попрошу не выражаться! На Луне живут Селениты.
                                            –3
                                            Наверняка аппарат был застрахован, а сейчас с опытом и страховкой можно построить новый.
                                              0
                                              Или даже два.
                                                +1
                                                Не был
                                                –1
                                                36:25 — 36:33 «Проблемы с основным двигателем. Мы перезагружаем бортовой компьютер, чтобы включить двигатель.»
                                                Последние 4 секунды жизни аппарата по данным в ЦУП (с 678 до 149 метров снижение)

                                                За 4 сек. комп не перезагрузить. Почему не обеспечили возможность включения основного двигателя по прямой команде с Земли?

                                                Ср.:
                                                при всех посадках на Луну, начиная с Нила Армстронга, – все астронавты выключали автоматическую посадку и садились вручную, пользуясь при этом информацией бортового компьютера, аналогично было при посадке Шатлов на Землю
                                                  +3
                                                  Астронавты видели куда летят, как сохранять ориентацию, здесь же мгновенной информации о положении аппарата нет. Попробуйте посадить обычный дрон без стабилизации, вручную регулируя скорость каждого пропеллера, да еще и отвернувшись.
                                                    0
                                                    В своем вопросе я исходил из прочитанного: «чтобы включить двигатель» — т.е. всего 1 двигатель, а не каждый из нескольких (4х?) пропеллеров. Охотно верю, что в штатном режиме комп справится лучше, чем люди на Земле, но комп был во внештатном режиме — раз его хотели перезагрузить. И почему не было 2го бортового компа?
                                                      +4
                                                      Без компьютера, управляющего боковыми маневровыми движками, он тут же начнет вращаться в произвольном направлении. А к вопросам «а почему не поставили еще ...» — там каждый грамм на счету, иначе полулюбительский проект за 100 млн превратится в полноценный «Апполон» за 100500.
                                                        +1
                                                        там каждый грамм на счету
                                                        Сколько весит бортовой комп?
                                                        Без компьютера, управляющего боковыми маневровыми движками, он тут же начнет вращаться в произвольном направлении
                                                        Его пытались перезагрузить. Значит пошли на вариант «Без компьютера». Читаю, что написано в статье. Но м.б. есть другие источники, где сказано иначе?
                                                          +1
                                                          Вес компа не знаю, но вряд ли мало, к примеру отказавший инерциальный датчик весит 55 грамм и потребляет 2вт, в отличии от бытового, представляющего из себя микросхемку с ничтожным потреблением.
                                                          Сомневаюсь, что двигатели можно включить без компьютера — кто же примет команду?
                                                            +1
                                                            Ну, вот и Вы не знаете, как и я. Но интересно: у кого-то претензии к моему вопросу — он/она всё знает? Автор написал что-то мне непонятное — могу я об этом спросить?
                                                              +1
                                                              У меня претензия никаких нет, я пытаюсь донести свои соображения, возможно, тоже ошибочные.
                                                                +1
                                                                Спасибо.
                                                            +1
                                                            >«Значит пошли на вариант «Без компьютера»»
                                                            «Евреи! Не жалейте заварки!»
                                                      0
                                                      del
                                                        +4
                                                        Вы думаете, что там домашний компьютер установлен? Это почему же за 4 секунды не перезагрузить?

                                                        И про ручную посадку: не забывайте про расстояние и задержку распространения сигнала. Когда-то луноходы были с непосредственным управлением, и операторов предварительно обучали управлению с отстающим изображением. Для посадки это слишком большая задержка.
                                                          +3
                                                          За 4 сек. комп не перезагрузить.

                                                          Почему Вы так решили? Bare metal без OS перезагружается за десятки миллисекунд.
                                                            0
                                                            Так еще и накатить надо обновы.
                                                              –1
                                                              Вы вправду считаете, что там винда?
                                                                0

                                                                Нет. Почитайте статью. А если лень, то хотя бы первый комментарий к ней.

                                                          +2
                                                          пишут один датчик — один компютер? напомнило Боинг Мах.

                                                          Ожидал что то?

                                                          — зафиксирована некорректная работа одного из 3 дублирующих датчиков.

                                                          основной компютер отключен, активирован дублирующий, 3 компьютер из хородного режима переведен в дублирующий
                                                            0
                                                            Датчиков было как минимум два, отказал IMU2. Поставить еще, наверно, не позволял вес.
                                                              +1

                                                              Там всего 55 грам, это слишком мало. Скорее (1) цена в пару сот тысят долларов с обвязкой и (2) первый работал исправно, датчик номер 2 просто ввзвал неожиданные сбои, т.ч. не в избыточности датчиков ускорения было дело.

                                                            –3
                                                            На чём хоть комп бортовой был сделан? Atmega?
                                                              +5

                                                              На процессоре местного производства с повышенной устойчивостью к сбоям и радиоактивному излучению: COBHAM GR712RC.

                                                              –12
                                                              А не надо было КА медвежьим говном называть!
                                                                –1
                                                                «Как вы яхту назовете...» (а с чувством юмора у кого-то проблемы %)
                                                                0
                                                                У меня возникает вопрос — ну почему не использовать давно проверенный в миссиях RAD6000? Типа импортозамещение что ли, все должно быть местного производства?
                                                                  +2
                                                                  Почему-то сразу было понятно, что проблема с ПО.
                                                                  Заголовок спойлера
                                                                  «Я что-то нажала, и всё исчезло».
                                                                    –4
                                                                    Значит раньше компьютеров ставили аж по 3 штуки, хотя они были огромными, а теперь можно хоть целый кластер засунуть из десятков ЭВМ, но их всего 1.
                                                                    Что за фигня?
                                                                    То ли полная деградация инженерной мысли, то ли пофигизм высшего порядка.
                                                                      +2

                                                                      Ключевое слово — устойчивость к радиации и перегрузкам. Там габариты и масса немножко больше, а стоимость не немножко.

                                                                        0
                                                                        Это всё понятно.
                                                                        И тем не менее, компьютеры за 50 лет стали меньше, легче и дешевле.
                                                                          +3
                                                                          И в той же степени уменьшилась помехоустойчивость к ионизирующим излучениям.
                                                                          Хотя для приличия второй бортовой они могли поставить, может аппарат даже выжил бы.
                                                                            0
                                                                            Можно заказать CPU общего назначения на старом техпроцессе, думаю линии с производством 90нм найти еще можно.
                                                                              +1
                                                                              Не то что можно, а их полно, тот же TMSC даже строит новые заводы на 100+ нм. Множеству электроники за глаза такие нормы.
                                                                                +1
                                                                                Вот только 90нм и радиационная стойкость не очень сочетаются. Техпроцессы общего назначения «автоматически» обеспечивают радиационную стойкость только при размерах порядка 250-300нм.

                                                                                Если меньше — уже нужен специальный техпроцесс. А 250nm — это, я извиняюсь, Pentium II, прошлый век, там современные технологии в стиле «100500 слоёв абстракции мало, нужно 100500100500 слоёв» не очень-то поиспользуешь.
                                                                                  +1
                                                                                  Да пусть в Брянск обращаются, на Кремний. Для уменьшения отбраковки кристаллов их иногда делают 1000нм. На 300нм брак до 70%.
                                                                                    0
                                                                                    В прошлом топике про Берешит указывалось, что их процессор выпущен TowerJazz на техпроцессе 180нм.
                                                                                      +1
                                                                                      Как и про то, что особенных мегаспецмер для радстойкости там не применили.
                                                                                        0

                                                                                        200 крад радицаии процессор без специальных мер не выдерживал бы.

                                                                                      +2
                                                                                      Вы представляете последствия попадания потока тяжёлых высокоэнергетических частиц в 90-нм процессор общего назначения?
                                                                                      Такие частицы запросто прошивают и корпус и кристалл. Эффекты там происходят начиная с произвольной переброски состояний задетых вентилей до их пробоя и появления сквозных токов с питалова на землю. И ещё неизвестно что хуже, моментальное окирпичивание системы или каверзная ошибка в рассчётах, которая испортит данные.
                                                                                      Также стоит помнить о том, что в открытом космосе тепло с этой печки сбрасывать банально некуда и процессор, рассчитанный на наличие условно-бесконечной теплоёмкости среды, перегреется ещё до того как аппарат прилетит куда надо.
                                                                                        0
                                                                                        А если окружить компьютер толстой свинцовой бронёй?
                                                                                        Будет сразу и радиозащита, и теплоёмкость.
                                                                                          0
                                                                                          Попадая в такую плотную «защиту» высокоэнергетическая частица породит «ливень» вторичных. Может стать даже хуже.
                                                                                            0
                                                                                            Не сработает. Как правильно заметил VT100, после столкновения частицы с таким слоем образуется вторичный поток частиц, которые тоже вызывают дефекты в кристалле.
                                                                                            На самом деле свинец не обладает такой большой теплоёмкостью, как кажется. Самый эффективный способ сбрасывать тепло в вакууме — излучать его инфракрасным спектром в пространство (причём желательно в направлении противоположном цели). + к этому, аппарат будет нагревать излучение от Солнца (из-за этого их кстати заворачивают как конфеты в специальную экранирующую плёнку).
                                                                                            Конструкторы КА так и поступают. Теплоотводы прокладывают к специальным поверхностям или радиаторам, и аппарат в полёте светит как прожектор. Либо тепло может идти на поддержание топлива/приборов в рабочем состоянии. Но при наличии ядерной топливной ячейки это может быть не оправдано, с неё тоже тепла немало выделяется.
                                                                                  +1

                                                                                  Помимо "а давайте запихнём побольше, чтобы было", есть множество параметров и методик для выбора рационального решения для конечной конфигурации системы. Интегрировать больше узлов в систему — это не всегда означает повышение устойчивости системы к сбоям. IAI продаёт свои решения по всему миру, главы SpaceIL выходцы из передовых технологических частей Армии Обороны Израиля, т.ч. я не сомневаюсь в их оправданном решении по поводу лишь одного центрального процессора. Составляются FMEA, SWOT как минимум. Знаю, потому что у нас работвет человек, который и был ответственен за FMEA в SpaceIL.
                                                                                  По-моему мнению, всё упёрлось в цену, ибо поставить процессор — это не отдать 0.3 млн долларов за штуку по прайсу, это ещё и обвязка, как электронная, так и механическая, так и термальная, а значит цена намного больше чистых 300 тыс долларов за процессор. В добавок процессор особенный по параметрам устойчивочти, что тоже внесло лепту в решение по установке лишь одной единицы.

                                                                                    +1
                                                                                    Помимо «а давайте запихнём побольше, чтобы было
                                                                                    А вот передергивать не обязательно, я просто хочет заострить вопрос на ОДНОМ бортовом компьютере что для космического корабля не допустимо.
                                                                                    Интегрировать больше узлов в систему — это не всегда означает повышение устойчивости системы к сбоям
                                                                                    Это смотря как их организовать — если будут в резерве либо работать в параллель(в кластере) то как раз таки означает. Теория вероятности.
                                                                                    я не сомневаюсь в их оправданном решении по поводу лишь одного центрального процессора
                                                                                    Т.е. логику и математику заменили на „авторитетное мнение“.
                                                                                    Здравствуй, племя младое, незнакомое!
                                                                                    поставить процессор — это не отдать 0.3 млн долларов за штуку по прайсу, это ещё и обвязка, как электронная, так и механическая
                                                                                    Ну а теперь весь корабль пропал — и где здравый смысл?
                                                                                    И дело не только в вероятности выходя из строя, комп может и работать, но с ошибками, поэтому у амеров раньше 3 компа работали параллельно и верным считался результат который был посчитан большее кол-во раз.
                                                                                      +1

                                                                                      Дело в том, что я верю в инженеров и их авторитетное мнение как людей с дестятками лет стажа из передовых отраслей промышленности в Изриале и секретных частей армии; и знаю людей, работавших в SpaceIL над FMEA, которые после работали рядом со мной и я им доверяю. С Ваших слов, простая математическая статистика "сложить параллельно два процессора, чтобы забэкапить" здесь не работает, ибо количество узлов, которые нужно добавить в систему для возможности работы всех элементов системы, усложняет её. И жаль, что так просто это не работает.
                                                                                      "Я не знаю были ли люди на Луне, но я верю в 400 тыс инженеров, которые трудились на благо этого дела"

                                                                                        +1
                                                                                        В данном случае веры в специалистов оказалось недостаточно :(
                                                                                        Но это — опыт, хотя и недешевый.
                                                                                          +1

                                                                                          Верить в другие, более спиритуальные вещи, вообще ничего не обещает =) А тут хотя бы опора на науку, инженерию и опыт людей.
                                                                                          А дороговизна опыта, я считаю, здесь мала, ибо за 95 млн долларов разработать космический аппарат, наладить рабочие связи, задействовать промышленность, запустить зонд и организовать шикарную акцию по просвещению — довольно дёшево. Для сравнения, если взять весьма успешные израильские стартапы с опорой на железо, то в них инвестируется в районе указанной суммы.

                                                                                            0
                                                                                            Огромная разница в том, что инвестирующие в стартапы ожидают в результате получить коммерческую прибыль, а инвесторы в этот проект заранее знали, что не получат взамен ничего, кроме фоточек в твиттере.
                                                                                            Поэтому сравнивать 95М там и 95М тут — некорректно.
                                                                                  –14
                                                                                  Простите, не могу удержаться: как вы яхту назовёте, так она и полетит :)
                                                                                    +6
                                                                                    Лучше бы вы всё-таки удержались. Прочитав пару аналогичных коментариев выше и поняв, что эту тупую шутку уровня третьеклассника тут не любят.
                                                                                    Кстати,
                                                                                    как там ваш ник читается? НосГной?
                                                                                      –21
                                                                                      Ой мамочки, сколько ярости, кажется, у кого-то критически дни? :)
                                                                                    +5

                                                                                    Все равно, молодцы, у них хотя бы до Луны аппарат долетел а не затонул в море-океяне.

                                                                                      0
                                                                                      У меня осталось такое ощущение, что ЦУП просто не был готов к нештатной ситуации при посадке. «У нас сбой, что делать?! Что делать?!» Был ли там человек, который четко понимал логику работы бортовых систем и их реакцию на отдаваемые с Земли команды? Было ли моделирование нештатных ситуаций «в лабораторных условиях» и соответствующая отработка программ бортового компьютера и соответствующих команд с Земли? Я думаю что на этой работе сэкономили, положившись на то что все пройдет без ошибок.
                                                                                        0
                                                                                        От «последней фотографии» есть ощущение, что это рендеринг — высокочастотная часть пространственного спектра на краях картинки сильно отличается от того, что в центре, что никогда не наблюдается при реальной съемке, и как бы намекает на сглаживание результатов неадаптивной тесселяции.
                                                                                          +3
                                                                                          Из-за особенностей аппаратуры у них «разьехалась» яркость цветовых слоёв в разных местах кадра.
                                                                                          Оно лечится, но вручную.
                                                                                          +4
                                                                                          Читаю комментарии и поражаюсь самоуверенным диванным экспертам — это явно не инженеры, уж точно не системщики. Как один из программистов другого космического проэкта в Израиле, могу с уверенностью заявить, что решение задач для таких проэктов является архисложной. Если б было легко, то все делали и побывали бы уже на луне.
                                                                                            0
                                                                                            А в каком проекте Вы работаете?
                                                                                          –2
                                                                                          тестирование с линией задержки связи? «нет, не слышали»
                                                                                            +3
                                                                                            Ремарка по двигателю. Во время трансляции было такое обсуждение

                                                                                            34:01 — Принято решение IMU-2 не включать.
                                                                                            34:23 — Телеметрия вернулась. Сильно возросла скорость снижения — 47.9 м/сек, и быстро растёт. Упало ускорение по Z — 0.6. Высота 11 км.
                                                                                            34:52 — Скорость снижения в красной зоне, 71 м/сек, продолжает расти, высота 9140.
                                                                                            35:01 — До контролёров доходит, что ГДУ, возможно, не работает.
                                                                                            35:08 — Тем не менее, согласно телеметрии ГДУ работает нормально, давление поднялось до 16.5 бар, расход топлива идёт. Контролёр 1 — «Интересно...»
                                                                                            35:14 — Получена вторая картинка.
                                                                                            35:19 — Контролёр 2 — «Согласно [неразборчиво], ГДУ не работает.
                                                                                            35:24 — Контролёр 1 — »На данный момент ГДУ работает". Расход топлива продолжает идти.
                                                                                            35:27 — Контролёр 3 — «Посмотрите на данные акселерометров, ГДУ не работает». На этот момент скорость снижения уже 100 м/сек, высота 5600.
                                                                                            35:39 — Систему предлагают перезагрузить. Reset.

                                                                                            Моя рабочая версия событий.

                                                                                            При выключении двигателя пропала тяга и наступила невесомость. Из-за тряски топливо смешалось с газом наддува и образовало газово-жидкостную взвесь. И когда прошло включение двигателя, то газ выдавливал в камеру уже именно эту взвесь, которая толком не воспламенялась. Осадить топливо не успели. Тем более что «резет» возможно опять обесточил двигатели и опять временно наступила невесомость.
                                                                                              0

                                                                                              Мне казалось, что ситуация, при которой топливо может перемешаться с газом наддува, довольно типична, а значит, должны быть приняты меры против этого, не?

                                                                                                +4
                                                                                                Конечно. На АМС для этих целей обычно применяются надувные мешки/мембраны в баках с топливом. Из-за чего смешение компонентов с газами наддува не происходит и можно запускать двигатели и в невесомости. Но на Берешите применили другой метод, более простой, который обычно применяют на РБ и ступенях ракет. Предварительная осадка топливом двигателями малой тяги. Метод рабочий, но на осадку нужно время. Которого нет при маневрах около Луны. Также он хорошо работает только если топлива в баках много. Больше чем газа наддува. А у Берешита оставалось 76 кг топлива из где-то 400 кг в начале полета и 216 в начале спуска с орбиты спутника Луны
                                                                                                0
                                                                                                Я не вижу у него отдельных баков для движков малой тяги.
                                                                                                А вот из-за неправильного даже на короткий период соотношения компонентов движок мог поломаться.
                                                                                                  0
                                                                                                  Возможно дмт работали за счет разложения гидразина. Просто иначе в осадке топлива, что была перед основным торможением, нет смысла
                                                                                                    0
                                                                                                    Возможно для них есть мелкий промежуточный бак.
                                                                                                    ДМТ только называются малой, реально у них тяга (суммарная) в половину тяги основного. И расход соответственно.
                                                                                                      0
                                                                                                      Одного бака мало, нужны клапана и насосы. Но бак может быть относительно небольшим, потому, что время работы в невесомости у этих двигателей небольшое.
                                                                                                    0
                                                                                                    На схеме видно, что основных топливных баков несколько (вероятно, два или три). Может быть, один/два для главного движка, и один для боковых?
                                                                                                    Но мелких промежуточных баков там не видно.
                                                                                                      0
                                                                                                      Стандартный комплект — 4 бака. 2+2. Для симметрии.

                                                                                                Только полноправные пользователи могут оставлять комментарии. Войдите, пожалуйста.

                                                                                                Самое читаемое