Discussion:
Schiaparelli
(zu alt für eine Antwort)
Peter J. Holzer
2017-05-26 20:17:52 UTC
Permalink
Die Untersuchung der Schiaparelli-"Anomalie", wie das so schön
euphemistisch genannt wird, ist abgeschlossen:

http://exploration.esa.int/science-e/www/object/doc.cfm?fobjectid=59175
(PDF zum Download)

Ganzkurzversion:

* Wenn man bei hoher Geschwindigkeit Fallschirme öffnet, dann
schaukelt's. Eventuell etwas mehr, als man für möglich gehalten hat,
wenn die Simulationen unrealistisch vereinfacht waren.
* Das Inertialsystem hat seine Messwerte nicht geglaubt und das
entsprechend kundgetan.
* Das Navigationssystem hat also mit Ersatzwerten gerechnet und gemeint,
dass Schiaparelli am Kopf steht.
* Wenn das Landeradar einen Boden sieht, obwohl Schiaparelli am Kopf
steht, dann folgt daraus messerscharf, dass Schiaparelli unter dem
Boden ist.
* Das ist zwar ein bisschen seltsam, aber weil man das Landeradar zum
Landen unbedingt braucht und es nicht vorstellbar ist, dass die Lage
falsch berechnet wurde, wird es nach ein paar Sekunden doch
akzeptiert.
* Negative Höhe sticht hohe Geschwindigkeit: Wir sind angekommen.

Wie ich vermutet hatte, war es also nicht nur die falsch berechnete
Höhe, sondern eine ganze Reihe von Fehlern, die da zusammengespielt hat.
Interessant auch, dass zumindest zwei Plausibilitätschecks mitgespielt
haben, wo zwar ein Fehler erkannt wurde, aber es keine sinnvolle
Fehlerbehandlung gab.

hp
--
_ | Peter J. Holzer | Fluch der elektronischen Textverarbeitung:
|_|_) | | Man feilt solange an seinen Text um, bis
| | | ***@hjp.at | die Satzbestandteile des Satzes nicht mehr
__/ | http://www.hjp.at/ | zusammenpaßt. -- Ralph Babel
Stefan Roth
2017-05-27 10:48:59 UTC
Permalink
On Fri, 26 May 2017 22:17:52 +0200, "Peter J. Holzer"
Post by Peter J. Holzer
Die Untersuchung der Schiaparelli-"Anomalie", wie das so schön
http://exploration.esa.int/science-e/www/object/doc.cfm?fobjectid=59175
(PDF zum Download)
* Wenn man bei hoher Geschwindigkeit Fallschirme öffnet, dann
schaukelt's. Eventuell etwas mehr, als man für möglich gehalten hat,
wenn die Simulationen unrealistisch vereinfacht waren.
* Das Inertialsystem hat seine Messwerte nicht geglaubt und das
entsprechend kundgetan.
* Das Navigationssystem hat also mit Ersatzwerten gerechnet und gemeint,
dass Schiaparelli am Kopf steht.
* Wenn das Landeradar einen Boden sieht, obwohl Schiaparelli am Kopf
steht, dann folgt daraus messerscharf, dass Schiaparelli unter dem
Boden ist.
* Das ist zwar ein bisschen seltsam, aber weil man das Landeradar zum
Landen unbedingt braucht und es nicht vorstellbar ist, dass die Lage
falsch berechnet wurde, wird es nach ein paar Sekunden doch
akzeptiert.
* Negative Höhe sticht hohe Geschwindigkeit: Wir sind angekommen.
Wie ich vermutet hatte, war es also nicht nur die falsch berechnete
Höhe, sondern eine ganze Reihe von Fehlern, die da zusammengespielt hat.
Interessant auch, dass zumindest zwei Plausibilitätschecks mitgespielt
haben, wo zwar ein Fehler erkannt wurde, aber es keine sinnvolle
Fehlerbehandlung gab.
hp
Zur Plausibilitätsprüfung:
Zum Zeitpunkt des Abschaltens konnte der Lander doch noch gar nicht
auf Höhe Null sein. Andernfalls wäre die Sinkgeschwindigkeit vorher
viel zu hoch gewesen.

Es ist zu hoffen, dass die ESA-Leute aus den SW-Fehlern lernen:
--> ExoMars Rover.

Grüße
Stefan
--
"Wenn ein unordentlicher Schreibtisch einen
unordentlichen Geist repräsentiert, was sagt dann
ein leerer Schreibtisch über seinen Benutzer aus?"
[Albert Einstein]
Peter J. Holzer
2017-05-29 18:48:08 UTC
Permalink
Post by Stefan Roth
On Fri, 26 May 2017 22:17:52 +0200, "Peter J. Holzer"
Post by Peter J. Holzer
Die Untersuchung der Schiaparelli-"Anomalie", wie das so schön
http://exploration.esa.int/science-e/www/object/doc.cfm?fobjectid=59175
(PDF zum Download)
[...]
Post by Stefan Roth
Post by Peter J. Holzer
Interessant auch, dass zumindest zwei Plausibilitätschecks mitgespielt
haben, wo zwar ein Fehler erkannt wurde, aber es keine sinnvolle
Fehlerbehandlung gab.
Zum Zeitpunkt des Abschaltens konnte der Lander doch noch gar nicht
auf Höhe Null sein. Andernfalls wäre die Sinkgeschwindigkeit vorher
viel zu hoch gewesen.
Das war einer der Plausibilitätschecks, deren Fehlen im
Untersuchungsbericht bemängelt wurde, ja.

hp
--
_ | Peter J. Holzer | Fluch der elektronischen Textverarbeitung:
|_|_) | | Man feilt solange an seinen Text um, bis
| | | ***@hjp.at | die Satzbestandteile des Satzes nicht mehr
__/ | http://www.hjp.at/ | zusammenpaßt. -- Ralph Babel
Helmut Schellong
2017-05-28 08:22:22 UTC
Permalink
Post by Peter J. Holzer
Die Untersuchung der Schiaparelli-"Anomalie", wie das so schön
http://exploration.esa.int/science-e/www/object/doc.cfm?fobjectid=59175
(PDF zum Download)
* Wenn man bei hoher Geschwindigkeit Fallschirme öffnet, dann
schaukelt's. Eventuell etwas mehr, als man für möglich gehalten hat,
wenn die Simulationen unrealistisch vereinfacht waren.
* Das Inertialsystem hat seine Messwerte nicht geglaubt und das
entsprechend kundgetan.
* Das Navigationssystem hat also mit Ersatzwerten gerechnet und gemeint,
dass Schiaparelli am Kopf steht.
* Wenn das Landeradar einen Boden sieht, obwohl Schiaparelli am Kopf
steht, dann folgt daraus messerscharf, dass Schiaparelli unter dem
Boden ist.
* Das ist zwar ein bisschen seltsam, aber weil man das Landeradar zum
Landen unbedingt braucht und es nicht vorstellbar ist, dass die Lage
falsch berechnet wurde, wird es nach ein paar Sekunden doch
akzeptiert.
* Negative Höhe sticht hohe Geschwindigkeit: Wir sind angekommen.
Wie ich vermutet hatte, war es also nicht nur die falsch berechnete
Höhe, sondern eine ganze Reihe von Fehlern, die da zusammengespielt hat.
Interessant auch, dass zumindest zwei Plausibilitätschecks mitgespielt
haben, wo zwar ein Fehler erkannt wurde, aber es keine sinnvolle
Fehlerbehandlung gab.
Etwas länger; von d.c.l.c
Post by Peter J. Holzer
Es ist ja vor etwa 3 Monaten der Marslander Schiaparelli auf der
Mars-Oberfläche zerschellt.
Wegen Software-Fehler.
[...]
Post by Peter J. Holzer
Waren die beim Apollo-Programm mit ~30 KB Code in Assembler besser?
Scheint mir fast so; vollkommen fehlerlos war das damals aber nicht.
18.05.2017 - Endauswertung und Fazit
------------------------------------
http://www.schellong.de/pdf/schiaparelli18052017.pdf

d) Eine unerwartete Drehung des Landers wurde notiert.
e) Fallschirm-Ausbringung wurde angestoßen.
f) Fallschirm-Entfaltung dauerte 1 s - okay.
o Das Fallschirm-Aufblasen generierte einige Oszillationen ~2,5 Hz.
o Nach etwa 0,2 s stellte die IMU eine Winkelabweichung fest, die
höher war als erwartet.
o Die IMU setzte ein Sättigungs-Flag.
o Während das Sättigungs-Flag gesetzt war, setzte die GNC-Software
einen dem Sättigungs-Schwellwert entsprechenden Winkelwert fest.
Die Festlegung dieser Konstante, während der Lander in Wirklichkeit
oszillierte, führte zu einem Fehler hinsichtlich dem von der GNC
geschätzten Winkelwert von etwa 165 Grad.
Dies würde beinahe einem Falschherum des Landers entsprechen!
o Nach Fallschirm-Aufblasen war die Oszillation des Landers
auf normale Werte gedämpft - fast verschwunden.
g) Der Front-Schild wurde wie geplant 40 s nach e) abgeworfen.
h) Das Radar (RDA) wurde eingeschaltet und meldete keinerlei Anomalien.
o Konsistenz-Checks der Messungen von IMU und RDA wurden vorgenommen:
o Wegen des fehlerhaften geschätzten Winkels durch die GNC-Software
veranschlagte die GNC die Messungen des Radars mit einem falschen
Winkel und einer negativen Höhe (cos(>90°)).
i) In Konsequenz schlug der Konsistenz-Check mehr als 5 s fehl.
Danach wurde das RDA forciert in eine Schleife versetzt, basierend
auf der Logik, daß das Landen ohne das RDA unmöglich ist.
o GNC-Mode war TERMINAL_DESCENT, wo die Höhe genau beobachtet wird,
um den Rücken-Schild und den Fallschirm passend abzuwerfen.
o Wegen der negativen Höhe (<+Schwellwert) veranlaßte die GNC dies.
j) Abwurf des Rückenschildes, und damit des Fallschirms.
k) Einschalten des Reaction-Control-System (RCS), in 3,7 km Höhe.
l) Abschalten des RCS nach 3 Sekunden --> Freier Fall.
o Das Kriterium für die Abschaltung basierte auf der Schätzung der
EDM-Energie (Höhe und Geschw.), die kleiner wurde als ein Schwellwert.
Weil die geschätzte Höhe negativ und sehr groß war, war die Energie
des negativen Potentials viel höher als die positive kinetische
Energie, und dieses Kriterium RCS-Off war sofort erfüllt.
m) Crash des Landers mit 150 m/s.
Die erwartete Landezeit lag 37 s später.

Wenn ein Fallschirm ausgestoßen wird, liegt zunächst ein im Detail
nicht vorhersagbares unsymmetrisches Verhalten vor.
Wenn der Schirm sich aufbauscht, gibt es einen gewaltigen Ruck, der
einen fallschirmspringenden Menschen mächtig zur Seite und nach oben
reißen kann.
Bei Körpern, die breiter als hoch sind (Schiaparelli), ist dieser Effekt
noch wesentlich heftiger, besonders, wenn der Zug nicht vollkommen
symmetrisch und zentral zum Schwerpunkt gerichtet ist, oder wenn die
Last eine ungleiche Gewichtsverteilung hat.
Diese Kenntnisse waren bei der ESA offenbar nicht vorhanden.

Ich würde einige Sekunden lang, nach dem Aufbauschen des Schirms, alle
relevanten Meßwerte zwar protokollieren, jedoch nicht für irgendwelche
Aktions-Entscheidungen verwenden - also pauschal ignorieren.
Nach ein paar Sekunden würde ich nochmals messen.
(Es gab 40 s Zeit!)
Ein Sättigungs-Flag würde ich je nach späteren Meßwerten wieder
zurücksetzen bzw. so frühzeitig erst gar nicht setzen.

Ich würde dem Radar Vorrang vor den cosinus-Berechnungen der GNC
geben - unbedingt!
Denn, das Radar braucht man unbedingt für die Landung; also würde
ich mich blind auf die Werte vom Radar verlassen, weil man ohne
funktionierendes Radar sowieso nicht landen kann - in keinem Fall!
Ohne die Berechnungen der GNC hier kann man hingegen sehr wohl landen.
Simple Logik.

Es wurden die fortlaufend korrekten Werte des Radars ignoriert
und errechneten, katastrophal falschen und unplausiblen Werten
der GNC Vorrang eingeräumt.
Das hatte eine negative Höhe zur Folge, weshalb wiederum
der Fallschirm abgeworfen wurde --> freier Fall!

Weil die korrekten Werte des Radars ignoriert wurden, wurden
auch noch die Triebwerke schnell wieder abgeschaltet
oder gar nicht erst eingeschaltet.
Zum Einschalten der Triebwerke (3,7 km) wurde das Radar jedoch
benutzt - oh Wunder, wie logisch!

Eine negative oder geringe Höhe vor Abwurf des Fallschirms
ist in jedem Falle unplausibel.
Ich würde dann nochmals Meßwerte ziehen (und verrechnen).

In dem Lander Schiaparelli steckt aus meiner Sicht ein ziemlich
großer Haufen Unlogik - nicht vernünftig-praktisch, sondern
theoretisch-dilettantisch bei der Software und beim Konzept.

Es wäre unter Umständen besser und sicherer, ohne Radar, einfach
nur nach Zeitdauern zu landen!
Man müßte dann eine längere Triebwerks-Zeit vorsehen, als Puffer.
Muß man eine IMU (Trägheitsnavigation) haben?
--
Mit freundlichen Grüßen
Helmut Schellong ***@schellong.biz
www.schellong.de www.schellong.com www.schellong.biz
http://www.schellong.de/c.htm
Stefan Roth
2017-05-28 16:05:06 UTC
Permalink
On Sun, 28 May 2017 10:22:22 +0200, Helmut Schellong
<***@schellong.biz> wrote:

Sehr schöne Darlegung. Bravo!

[snip]
Post by Helmut Schellong
Die erwartete Landezeit lag 37 s später.
Sag ich doch.
Post by Helmut Schellong
Es wäre unter Umständen besser und sicherer, ohne Radar, einfach
nur nach Zeitdauern zu landen!
Sag ich doch.

Warum "theoretisch-dilettantisch" wenn's auch einfach(er) praktisch
geht. ,-)

Das hat mit diesem Fall nur randständig zu tun, aber ich grüble in
letzter Zeit immer häufiger über die enormen Erfolge privater
Weltraumtechnik (z.B. erfolgreiche Landung von Raketenunterstufen,
zuletzt den Erfolg in Neuseeland) im Vergleich zu den exorbitanten
Kosten und die "furchtbare" Entwicklungsdauer von Projekten von ESA
und NASA (Ariane 6, Orion -> schon wieder verschoben).

Ob bei ESA und NASA zu viele in ausgetretenen Pfaden denken?

Grüße
Stefan
--
"Wenn ein erfahrener, angesehener Wissenschaftler sagt,
etwas sei möglich, dann hat er sehr wahrscheinlich recht.
Wenn er aber sagt, etwas sei unmöglich, so hat er sehr
wahrscheinlich unrecht." (Arthur C. Clarke)
Oliver Jennrich
2017-05-28 20:35:47 UTC
Permalink
Post by Stefan Roth
On Sun, 28 May 2017 10:22:22 +0200, Helmut Schellong
Sehr schöne Darlegung. Bravo!
[snip]
Post by Helmut Schellong
Die erwartete Landezeit lag 37 s später.
Sag ich doch.
Post by Helmut Schellong
Es wäre unter Umständen besser und sicherer, ohne Radar, einfach
nur nach Zeitdauern zu landen!
Sag ich doch.
Warum "theoretisch-dilettantisch" wenn's auch einfach(er) praktisch
geht. ,-)
Das hat mit diesem Fall nur randständig zu tun, aber ich grüble in
letzter Zeit immer häufiger über die enormen Erfolge privater
Weltraumtechnik (z.B. erfolgreiche Landung von Raketenunterstufen,
zuletzt den Erfolg in Neuseeland) im Vergleich zu den exorbitanten
Kosten und die "furchtbare" Entwicklungsdauer von Projekten von ESA
und NASA (Ariane 6, Orion -> schon wieder verschoben).
Ob bei ESA und NASA zu viele in ausgetretenen Pfaden denken?
Die 'privaten' Unternehmen (zur Erinnerung - Boeing & Lockheed, die
zusammen die ULA bilden, sind ebenfalls private Unternehmen [1]) kochen auch
nur mit Wasser. Der zentrale Unterschied ist jedoch, dass wenn Space-X
eine landende Unterstufe vom Ponton kippt, die Leute mit 'kann mal
passieren' reagieren, während bei vergleichbaren Fehlern NASA und ESA
"theoretisch-dilettantisch" vorgeworfen wird.

Zudem gibt es schon einen kleinen Unterschied zwischen Satelliten in der
Erdumlaufbahn aussetzen (was im übrigen sowohl ESA als auch NASA sehr
zuverlässig hinbekommen) und einer Landung auf einem anderen Planeten.

Der zentrale Unterschied ist natürlich, das Elon Musk sein Privatvermögen
einsetzt und ESA und NASA Steuergelder. Bei letzterem muss man
damit rechnen, dass jeder der schonmal eine Silvesterrakete gestartet
hat, genau weiß woran es gelegen hat, wenn es schief geht.

Wenn ich so einen Bockmist (mit Verlaub!) lese wie 'nach Zeitdauern' zu
landen - saugute Idee. Die Atmosphäre des Mars ist ja so gut bekannt,
dass es überhaupt kein Problem ist, die Abstiegsdauer mit Fallschirm
fest einzuprogrammieren. Brennschluss der Bremsraketen bekommt man
sicher auch auf 1/10 s genau hin - was kann schon schiefgehen.

Glaubt tatsächlich jemand ernsthaft, auf die Idee wäre das Projektteam
nicht auch gekommen? Oder dass bei einer Mission die derartig unter
Zeit- und Kostendruck stand wie ExoMars nicht auch die Idee, eine
kritische Nutzlast weglassen zu können, durchaus Sympathisanten gehabt hätte?

Ja, bei Schiaparelli ist eine Menge schiefgelaufen, aber das liegt in
erster Linie nicht an den einzelnen Mitarbeitern die 'in ausgetretenen
Pfaden' [2] denken, sondern an strukturellen Problemen. Welche das sind,
kann man dem Report entnehmen.

[1] Die Unternehmen, die Schiaparelli gebaut haben, ebenso.
[2] Welche das bei Schiaparelli sein sollen, ist mir
schleierhaft. Soviele Sonden hat die ESA noch nicht auf dem Mars
gelandet.
--
Space - The final frontier
Helmut Schellong
2017-05-29 08:25:50 UTC
Permalink
Post by Oliver Jennrich
Wenn ich so einen Bockmist (mit Verlaub!) lese wie 'nach Zeitdauern' zu
landen - saugute Idee. Die Atmosphäre des Mars ist ja so gut bekannt,
dass es überhaupt kein Problem ist, die Abstiegsdauer mit Fallschirm
fest einzuprogrammieren. Brennschluss der Bremsraketen bekommt man
sicher auch auf 1/10 s genau hin - was kann schon schiefgehen.
Das ist von mir natürlich provokant gemeint.
Ich erhebe ja den Vorwurf, daß insbesondere die Software konzeptionell
und im Detail nicht gründlich durchdacht - oberflächlich wirkt.

Soll heißen, daß ohne Radar die Komplexität geringer wird
und dann vielleicht deshalb die Software 'eher gelingt'.

https://de.wikipedia.org/wiki/Mars_(Planet)
Die Daten über den Mars sind erstaunlich genau und vielfältig.
Die errechneten Zeiten beim Schiaparelli-Abstieg stimmten recht genau
mit den realen Zeitdauern überein, so daß ich nach etwa 30 Sekunden
Überlegen darauf kam, daß ein Abstieg ohne Radar möglich sein könnte.

Wieso muß der Brennschluß auf 1/10 s genau sein?
Man kann doch Sensoren für geringe Entfernungen statt Radar verwenden,
für das Aufsetzen.
Bis dahin läßt man den Lander ab einem gewissen Zeitpunkt langsam
mit Triebwerkunterstützung absinken - mit Reserve, wie ich schrieb.
--
Mit freundlichen Grüßen
Helmut Schellong ***@schellong.biz
www.schellong.de www.schellong.com www.schellong.biz
http://www.schellong.de/c.htm
Loading...